messaggio Telegram (o altro messenger) come secondo fattore in 2FA

Naviga le tue risposte
4

È sicuro inviare il codice tramite il bot di messaggistica e utilizzarlo come secondo fattore in auth? Lo schema sembra uguale a quello di SMS. Un utente apre l'applicazione o controlla una notifica push e utilizza il codice. Perché nessuno lo usa? È più economico e quasi tutti usano messenger.

    
posta PilgrimViis 07.11.2018 - 10:46
fonte

2 risposte

2

Safe è una scelta di parole peculiare per descrivere la scelta media per un messaggio 2FA che in realtà potrebbe descrivere diverse qualità disperate di un mezzo 2FA. Attraverso la lente della sicurezza.

2FA è spesso usato per fornire l'autenticazione basata su qualcosa che hai invece di qualcosa che conosci . Per questo forse il dispositivo definitivo è un dongle di sicurezza offline che genera codici basati sul tempo con un algoritmo sicuro.

SMS offre una proprietà simile in quanto tende a dimostrare che l'utente ha il controllo di uno specifico telefono cellulare. La modifica del telefono a cui vengono recapitati i messaggi SMS per un numero non è semplice e richiede di cambiare fisicamente una scheda SIM o di trattare in modo estensivo con un operatore telefonico. L'SMS è meno sicuro nell'età degli smartphone perché il telefono potrebbe essere effettivamente la prima dove la password è stata compromessa, in modo che l'utente malintenzionato possa ottenere i codici SMS allo stesso modo.

L'utilizzo di un messaggio telegramma sarebbe simile all'invio di un'e-mail di conferma. Dimostra che la persona ha accesso a un account, ma poco di più. A condizione che il servizio abbia eccellenti MFA e sicurezza in generale, questo approccio potrebbe sfruttare il servizio di autenticazione lì. In definitiva, se l'altro servizio è basato esclusivamente su nome utente e password, la sicurezza aggiuntiva non è probabilmente particolarmente significativa.

    
risposta data 08.11.2018 - 02:07
fonte
2

Ci sono un paio di motivi per cui mantenere gli SMS una scelta superiore e sicura come mezzo per comunicare il codice 2AF rispetto agli altri sistemi di messaggistica come Messenger o WhatsApp:

  • SMS è una funzione integrata sui telefoni cellulari, non è necessario installarlo e non è possibile disinstallarlo intenzionalmente o accidentalmente.
  • Non tutti i clienti hanno uno smartphone diverso da un semplice cellulare GSM.
  • Ipoteticamente, se tutti i clienti hanno uno smartphone, non si controlla quale app di messaggistica deve installare.

Aggiornamento:
La parola "Sicuro" qui è indicata dal punto di vista aziendale e non implica SMS poiché un sistema è più sicuro.

    
risposta data 07.11.2018 - 16:33
fonte

Leggi altre domande sui tag

Amazon continua a chiedere informazioni di accesso / cc tramite pagina non protetta - DNS hijack? Hai bisogno di DNSSEC se usi HSTS? [duplicare]