Autenticazione a più fattori - collegamento e-mail

Naviga le tue risposte
3

Sto cercando di capire possibili problemi con l'approccio di inviare il token One Time MFA all'utente come link cliccabile nell'e-mail.

Invece di inviare l'OTP sulla pagina web, l'utente farà semplicemente clic sul link e l'applicazione web dovrebbe essere in grado di procedere con il flusso dell'applicazione.

Ho visto la maggior parte delle applicazioni Web utilizzare l'approccio di invio degli utenti.

Mi piacerebbe sentire le riflessioni della community sull'approccio a link e-mail cliccabili e tutte le applicazioni Web conosciute utilizzano questo approccio per MFA.

    
posta Joe 29.12.2015 - 19:24
fonte

2 risposte

1

Questa non è l'autenticazione a più fattori, poiché è solo "qualcosa che conosci" due volte (la password del tuo servizio e la password della casella di posta dell'utente) e conoscendo le abitudini degli utenti, saranno esattamente le stesse. Inoltre, l'e-mail dal tuo sistema alla casella di posta dell'utente non è in grado di viaggiare su una connessione sicura, poiché viviamo ancora nel mondo della crittografia opportunistica per la consegna della posta. Quindi, il "token segreto" viene inviato su canali non-così-segreti.

Questo è marginalmente meglio che chiedere agli utenti semplicemente una password, ma questa non è sicuramente l'autenticazione a più fattori (che dovrebbe dimostrare che l'utente ha in possesso di un dispositivo hardware specifico).

    
risposta data 29.12.2015 - 20:04
fonte
1

Il flusso di accesso che proponi è:

  • L'utente accede al sito con nome utente e password.
  • Un link viene inviato via email all'indirizzo di posta elettronica dell'utente registrato (e presumibilmente verificato)
  • L'utente fa clic sul collegamento per completare la procedura di accesso.

Anche se non lo descrivi, un tipico flusso di recupero della password è:

  • L'utente chiede di recuperare la password.
  • Devono fornire una combinazione di indirizzo email, nome utente, risposta alle domande, ecc ...
  • Un'e-mail viene inviata all'indirizzo email registrato dell'utente con un link di reimpostazione della password o una password temporanea.

Se lo si utilizza, significa che l'accesso all'e-mail di un utente consentirà a un utente malintenzionato di reimpostare la password e quindi di eseguire correttamente il flusso di lavoro di accesso. Questo non è migliore dello schema standard di login e password, quindi non sprecare energia su di esso. 1

Se non si utilizza l'e-mail per il recupero della password, allora penso che questa soluzione offra una sicurezza aggiuntiva, anche se è discutibile quanto. E tutto ciò che risparmia è la seccatura per l'utente di dover digitare un codice inviato a loro in SMS o tramite un'app di autenticazione mobile.

Non si specificano le proprietà del collegamento di accesso. Dovrebbe essere il caso che funzioni solo se l'utente apre quel collegamento nello stesso browser in cui ha avviato il processo di accesso. Se funzionasse in qualsiasi browser, il collegamento sarebbe sufficiente per entrare effettivamente in quella dell'utente account.

1 In realtà è un po 'meglio come un attaccante che ha solo un breve accesso alla casella di posta dell'utente non può entrare. Devono accedervi due volte: una volta per resettare la password e ancora una volta per fare clic sul link di accesso. Pertanto, la richiesta di due e-mail aiuterà nell'improbabile caso in cui l'autore dell'attacco abbia tempo sufficiente per lavorare attraverso uno dei flussi di lavoro prima di perdere l'accesso all'e-mail della vittima.     
risposta data 30.12.2015 - 03:17
fonte

Leggi altre domande sui tag

Firma lato client di un file (.exe, .dll, .jar ..) utilizzando CA certificato emesso e signtool [chiuso] È vulnerabile allo sfruttamento XSS?