OTP sullo stesso dispositivo utilizzato per accedere

3

Ho visto le app mobili utilizzare l'autenticazione a due fattori inviando un SMS al telefono cellulare. Tuttavia, se ho rubato il telefono di qualcuno, qual è il vantaggio in termini di sicurezza? Posso comprenderlo se è utilizzato in combinazione con un altro supporto (ad esempio un sito Web su un desktop) ma se al telefono stesso viene inviato un OTP di sorta, qual è il vantaggio di sicurezza offerto?

In particolare, guardo Authy e mi chiedo quale valore porti a un'app mobile?

Grazie

    
posta Secoority 27.10.2015 - 17:08
fonte

1 risposta

1

Hai ragione, questo non è efficace nel caso in cui il dispositivo venga rubato - hai bisogno di una buona autenticazione locale come pin, password, passphrase e potenzialmente dati biometrici.

Tuttavia queste soluzioni OTP non stanno cercando di affrontare quella minaccia. Hanno lo scopo di impedire a qualcuno di tentare di accedere a un servizio indovinando nomi utente e password o utilizzando nomi utente e password rubati da altre parti (ad esempio tramite keylogger, database dump, ecc.).

Ad esempio:

  1. Il sito Web XYZ viene violato e i nomi utente e le password vengono violati e pubblicati online
  2. Ottengo la lista e provo ognuna delle credenziali sul sito web di ABC
  3. Spesso gli utenti useranno gli stessi nomi utente e password e accederò ad alcuni account
  4. Tuttavia, se il mio account sul sito ABC è collegato a un numero di cellulare e utilizza un SMS per l'autenticazione, il mio nome utente e password non consentono di compromettere il mio account ABC a meno che non sia possibile intercettare anche gli SMS
risposta data 27.10.2015 - 18:30
fonte