Password uniche e TOTP 2FA uniche

Naviga le tue risposte
3

Quindi uso un gestore di password con per generare una (univoca) password unica per ogni sito per cui ho un nome utente / password.

Per quelli che lo consentono, abilito anche TOTP (Time-based One-Time Password) 2TF.

Questo mi ha fatto pensare.

In teoria, l'unico modo in cui qualcuno potrebbe mettere le mani sulla mia password (esclusi gli attacchi MTM) sarebbe per la tabella delle password del sito che sto usando per perdere, a quel punto nel tempo il seme TOTP perderebbe anche.

Quindi, in cosa si suppone che il TOTP stia proteggendo? È inteso come protezione contro: MTM, keylogger, over-the spalla viewer?

    
posta John 18.10.2017 - 08:21
fonte

1 risposta

2

L'autenticazione a due fattori non può proteggerti da una violazione del sito. Se qualcuno ottiene l'accesso ai siti, le probabilità del database delle password hanno accesso a qualsiasi dato confidenziale su quel sito.

L'autenticazione a due fattori ti protegge da qualcun altro che ottiene la tua password. Se si visualizza questo come impossibile 2FA non è necessario. Con la maggior parte dei sistemi TOTP questo si basa sul possesso di un dispositivo con la chiave pertinente installata e sulla password per l'accesso. Spesso questo dispositivo è separato dal dispositivo utilizzato per accedere al servizio (ad esempio uno smartphone per il generatore di token e un laptop per il servizio) che offre anche una certa protezione (la tua sessione può ancora essere dirottata) nel caso in cui il dispositivo che effettua l'accesso da o il tuo gestore di password sia compromesso.

Il principale rischio per te è probabilmente il gestore di password. Le vulnerabilità si verificano in questi. Questo diventa due volte più importante se le password sono archiviate online, poiché sono visibili alle macchine che non controlli.

    
risposta data 18.10.2017 - 09:54
fonte

Leggi altre domande sui tag

Esistono programmi bruteforce che usano lettere di altre lingue? Arabo? Greco? Qual è il processo per utilizzare i dispositivi PDI precedentemente installati in una soluzione PCI P2PE?