Ho avuto qualche situazione interessante: il mio account Amazon ha 2FA abilitato dove il mio smartphone con google authenticator è il mio secondo fattore.
A causa di problemi con questo telefono il mio secondo fattore praticamente si è rotto (non sono più stati prodotti pin affidabili). Dato che ero su una macchina contrassegnata come attendibile, potrei acquistare ecc. Solo con la mia email + password su questa macchina.
Quando ho provato ad aggiungere un nuovo smartphone come fattore di sostituzione anche sul mio dispositivo fidato, mi è stato chiesto di inserire il secondo fattore, che non potevo. Ho quindi dovuto ricorrere all'inserimento di un numero di telefono nell'area di supporto e un rappresentante mi ha richiamato.
Ora quello che è successo ha causato un po 'di dubbio sull'utilità della mia fantasia 2FA: L'agente mi ha chiesto il mio indirizzo email che ho usato per accedere ad Amazon che gli ho detto. Quindi l'agente mi ha inviato una spilla a questo indirizzo email. Dopo aver letto questo pin all'agente, mi ha suggerito di disabilitare l'intero 2FA in modo che potessi accedere, fare le mie cose e infine abilitare nuovamente 2FA.
È un vettore di attacco plausibile? Sono consapevole che un utente malintenzionato ha bisogno della password per il mio account amazon e della password per l'account di posta per questo account amazon, che di per sé potrebbe non essere banale ma sono un po 'irritato che senza ulteriori indugi potrei rimuovere il secondo fattore dalla mia autenticazione . Non sono state richieste ulteriori informazioni come data di nascita ecc.
(Dato che il mio indirizzo email non riutilizza la password di amazon (o qualsiasi password) e utilizza esso stesso un 2FA, considero questa minaccia piuttosto bassa per la mia situazione, ma comunque mi sembra strano)