Avendo la modalità sudo in un'applicazione web, perché usare una password invece di una password?

3

I servizi online, come GitHub, hanno modalità Sudo . La modalità Sudo significa che un utente che esegue azioni delicate deve solo autenticarsi ogni paio di minuti, ma di nuovo, anche se hanno già effettuato l'accesso.

GitHub utilizza per questo motivo la password dell'utente. Mi chiedo se questo è l'approccio migliore. Perché dovrei usare la password e non la password unica fornita da un autenticatore come Google Authenticator? Non sarebbe più sicuro? In particolare, la maggior parte dei browser salva la password e li fornisce nel campo della password, mentre non è possibile fornire una sola password per progetto?

    
posta tjati 15.01.2018 - 14:21
fonte

1 risposta

2

Un secondo fattore non è intrinsecamente più sicuro di una password. In molti casi (come un RSA SecurID Token) il secondo fattore è vulnerabile al furto fisico - mentre una password memorizzata non lo è.

Sarebbe più sicuro chiedere entrambi i fattori di autenticazione. Immagino che Github abbia scelto di non fare questo per comodità - dopotutto è una nuova autenticazione di un utente che è già stato autenticato con successo con entrambi i fattori. Si potrebbe sostenere che la sessione attiva sia già una forma di autenticazione secondaria.

    
risposta data 15.01.2018 - 16:06
fonte

Leggi altre domande sui tag