Un amministratore può essere in grado di disattivare TFA per un utente

3

Utilizziamo Google Authenticator e SMS per l'autenticazione a due fattori. Dovremmo consentire agli amministratori del sito di disattivare TFA per gli utenti?

Google Auth utilizza gli SMS come opzione di backup ma SMS non ha un backup e quando l'utente non può ricevere SMS per qualsiasi motivo non può accedere. So che possiamo eseguire il backup degli SMS con le chiamate vocali, ma queste situazioni potrebbero comunque verificarsi.

    
posta Emre Kenci 20.12.2013 - 10:54
fonte

1 risposta

5

Should we allow the administrators of the site to turn off TFA for users?

Questa è una domanda molto interessante. Sospetto che la risposta dipenda molto dalla valutazione del rischio del singolo sito. Diamo un'occhiata ad alcuni pro e contro di consentire all'amministratore di disattivare 2FA per un singolo utente.

Pro

  • Utile per l'utente se perde l'accesso al suo token di autenticazione.

Contro

  • Soggetto a attacchi di phishing. Un utente malintenzionato potrebbe chiamare / inviare un'email al rappresentante del servizio clienti e fingere di essere l'utente che chiede loro di disattivare la 2FA. Potresti pensare che i tuoi rappresentanti del servizio clienti siano più intelligenti di così, ma rimarrai sorpreso. Mat Honan è la prova vivente che questa è una minaccia molto reale.

Tuttavia, potrebbe esserci un caso d'uso legittimo in cui l'utente ha perso l'accesso al suo token di autenticazione e ha bisogno che venga ripristinato in qualche modo. Vorrei far passare all'utente la stessa procedura di cui avrebbe bisogno quando reimposta la sua password. Ciò potrebbe comportare l'invio tramite e-mail di un link da attivare per l'elaborazione o qualcosa di simile. L'idea qui è di rendere il compito più difficile per un utente malintenzionato di farlo, poiché dovrà anche compromettere l'account di posta elettronica dell'utente.

    
risposta data 20.12.2013 - 11:03
fonte

Leggi altre domande sui tag