Vale la pena inviare un PIN con e-mail per 2FA?

Di solito viene chiamato due step di autenticazione e, nelle cerchie di sicurezza, non è considerato 2FA. Il motivo è perché i tre fattori di autenticazione sono "qualcosa che l'utente conosce", "qualcosa che l'utente ha", e "qualcosa che l'utente è". L'email non può essere considerata "qualcosa che l'utente ha" perché per accedere all'e-mail, tipicamente tutto ciò che l'utente deve sapere è un altro set di nome utente e password (a meno che la tua azienda non abbia già 2FA su email) .

Molti sistemi, in particolare le istituzioni finanziarie e ora Google, FB, Twitter, Microsoft Account, ecc. utilizzeranno un numero di telefono perché l'utente deve dimostrare di essere in possesso del telefono.

2FA è spesso un'esperienza di accesso peggiore rispetto a un fattore singolo, ma dipende dalla posta in gioco. Se le sue informazioni sull'impatto aziendale elevato (quali dati sensibili, capacità di effettuare transazioni finanziarie, PII dei clienti), in genere 2FA saranno favorite dall'esperienza utente.

Detto questo, la sicurezza è valida quanto il suo anello più debole. Quindi, anche dopo aver applicato 2FA (o una verifica in due passaggi) per gli utenti, se i dati sottostanti erano accessibili in altro modo senza quella sicurezza aggiuntiva, allora è davvero una seccatura per gli utenti (e sì, ho visto esempi di persone che cercano di fallo!)

Quello che stai descrivendo è l'autenticazione a 2 fattori, anche se è l'autenticazione a 2 fattori più sicura è una domanda per un esperto di sicurezza.

Wikipedia offre un ottimo esempio di ciò che è 2FA e credo che il passo che hai citato sia classificato come due 2FA.

an automated teller machine (ATM) typically requires two-factor verification. To prove that users are who they claim to be, the system requires two items: an ATM smartcard (application of the possession factor) and the personal identification number (PIN) (application of the knowledge factor). In the case of a lost ATM card, the user's accounts are still safe; anyone who finds the card cannot withdraw money as they do not know the PIN. The same is true if the attacker has only knowledge of the PIN and does not have the card. From Wikipedia

In effetti ciò che stai proponendo è molto simile a come Steam autentica gli utenti sulle nuove macchine.

1. Accedi utilizzando il tuo nome utente e la password
2. Viene inviata un'email di verifica a un indirizzo email già verificato per confermare che desideri consentire l'accesso al tuo account da quella macchina.

Senza l'accesso sia al fattore conoscenza (nome utente e password) che al fattore di possesso (accesso all'indirizzo email) non è possibile accedere su una nuova macchina.

2FA non è per tutti, quindi per impostazione predefinita penso che questo dovrebbe essere disattivato e dovresti incoraggiare l'utente ad attivare la funzione da sé.

Alcuni utenti potrebbero non volere l'attrito in più che viene fornito con 2FA e alcuni utenti potrebbero semplicemente non valutare la sicurezza del proprio account più in alto della facilità di accesso.

Modifica: per rispondere alla tua domanda ... Non è una brutta esperienza SE non sono forzati in 2FA e dipende interamente dal loro valore per la sicurezza oltre la facilità di accesso.

Atteniti al tuo istinto Jake ... questo sicuramente non è 2FA.

Ciò che hai descritto è in realtà una verifica in due passaggi, poiché l'OTP via email (o SMS) non è considerato "qualcosa che hai" e non è quindi un secondo fattore.

Ecco un diagramma di flusso per aiutarti.

Fonte: link