Supponiamo di avere due siti Web con meccanismi 2FA altrimenti identici.
Meccanismo 1
Devi inserire un PIN nel tuo generatore di token per recuperare la tua password One Time. Sul sito web, si utilizza la password e l'OTP da solo per accedere.
Meccanismo 2
D'altra parte, l'OTP è accessibile solo fisicamente avendo il dispositivo. Sul sito web inserisci la password e poi [PIN] + OTP.
Mi chiedevo se ci fosse una differenza dimostrabile nella sicurezza fornita da questi due metodi? Sono uguali ed è puramente una scelta progettuale, o ci sono ulteriori considerazioni da fare?
Ad esempio, è chiaro che in Mechanism 2 è possibile avere il PIN intercettato elettronicamente. Dopo di che, un utente malintenzionato avrebbe solo bisogno di un accesso temporaneo al proprio generatore di token per accedere. Ma poi, se l'attaccante è fisicamente locale, probabilmente potrebbero ottenere il tuo PIN in qualche altro modo (CCTV, navigazione a spalla ecc.)