Utilizziamo Google Authenticator e SMS per l'autenticazione a due fattori. Dovremmo consentire agli amministratori del sito di disattivare TFA per gli utenti?
Google Auth utilizza gli SMS come opzione di backup ma SMS non ha un backup e quando l'utente non può ricevere SMS per qualsiasi motivo non può accedere. So che possiamo eseguire il backup degli SMS con le chiamate vocali, ma queste situazioni potrebbero comunque verificarsi.
Should we allow the administrators of the site to turn off TFA for users?
Questa è una domanda molto interessante. Sospetto che la risposta dipenda molto dalla valutazione del rischio del singolo sito. Diamo un'occhiata ad alcuni pro e contro di consentire all'amministratore di disattivare 2FA per un singolo utente.
Pro
Contro
Tuttavia, potrebbe esserci un caso d'uso legittimo in cui l'utente ha perso l'accesso al suo token di autenticazione e ha bisogno che venga ripristinato in qualche modo. Vorrei far passare all'utente la stessa procedura di cui avrebbe bisogno quando reimposta la sua password. Ciò potrebbe comportare l'invio tramite e-mail di un link da attivare per l'elaborazione o qualcosa di simile. L'idea qui è di rendere il compito più difficile per un utente malintenzionato di farlo, poiché dovrà anche compromettere l'account di posta elettronica dell'utente.
Leggi altre domande sui tag authentication passwords sms one-time-password