Autenticazione a 2 fattori significa accedere all'app MOBILE (utilizzando nome utente e password) e lì ottieni il codice per accedere al tuo account dal browser del PC, giusto?
Ma se l'hacker ha la mia password, allora può entrare nell'app mobile senza login in 2 fasi?
2FA significa avere due fattori per l'autenticazione, preferibile uno è un fattore fisico ("sapere" e "avere"). L'idea è che in questo modo non è sufficiente ottenere la password a causa di hacking, perdita di dati, phishing ecc. Ma che l'utente malintenzionato deve inoltre avere accesso al dispositivo fisico.
Ci sono molti dispositivi fisici utilizzabili con 2FA come token di sicurezza, smart card (ad esempio il "chip" in "chip e pin") o telefoni cellulari. Mentre i token di sicurezza o le smart card di solito devono essere acquistati esplicitamente per questo scopo, i telefoni cellulari spesso esistono già e possono essere utilizzati come secondo fattore semplicemente aggiungendo alcune app ad esso.
L'autore dell'attacco non può semplicemente utilizzare il proprio cellulare con il nome utente e la password ma deve avere accesso al telefono pre-autorizzato, ovvero non deve solo accedere alla password ("Conosci") ma anche al telefono ("avere").
Purtroppo questo "avere" può anche essere un accesso remoto se il cellulare è stato violato. Dispositivi 2FA più limitati come smart card o token di sicurezza sono più sicuri a questo riguardo, ma anche più costosi. Pertanto, i telefoni cellulari si sono dimostrati un buon metodo 2FA quando è necessaria una sicurezza migliore rispetto a una semplice password, ma i dispositivi 2FA dedicati e più sicuri sono troppo costosi.
2-factor authentication means to enter MOBILE app (using username and password) and then from that app you get codes to enter your account from a browser on a PC browser.
No, no non lo è.
Esistono diversi tipi di 2FA. Uno è ottenendo un messaggio di testo. Non inserisci le tue site.com di credenziali sul tuo telefono per ottenere un messaggio di testo, al momento della registrazione dici a site.com del tuo numero di telefono.
Un altro è TOTP. Configura Google Authenticator o simili con site.com e ora hanno un segreto condiviso. Non inserisci le tue site.com credenziali per utilizzare Google Authenticator.
C'è anche U2F, che non coinvolge nemmeno il tuo telefono.
La principale minaccia che il sistema mobile 2FA è progettato per proteggere contro non è una perdita del telefono. È contro un attacco di rete. È molto difficile immaginare come un utente malintenzionato in qualche luogo casuale del pianeta possa compromettere il tuo accesso a un sito Web se utilizzi un dispositivo mobile basato su 2FA e non hanno il tuo telefono. Avrebbero bisogno di prendere fisicamente il telefono. È qui che entra in gioco il secondo fattore, qualcosa che hai,
2FA basato su dispositivi mobili fa uno scarso lavoro aggiungendo sicurezza all'autenticazione quando il cellulare è nelle mani di un utente malintenzionato.
I vantaggi del 2FA basato su dispositivi mobili è che, rispetto ai 2FA basati su token come RSA SecureID , è quello è più economico e più conveniente.
Per molti casi d'uso, prevenire gli attacchi in remoto è una grande vittoria, rendendo la 2FA basata su dispositivi mobili una buona strategia. I articoli di Wikipedia su 2FA illustrano i pro e i contro in ulteriori dettagli.
È concepibile che esista un'app mobile alla quale è possibile accedere con nome / pass e che l'app assumerà il nome / passaggio più un identificativo univoco dal dispositivo per generare un codice che può essere inserito in un sito Web per l'autenticazione.
Penso che l'OP voglia sapere perché il codice generato sarebbe necessario se l'attaccante ha già il nome / passaggio. Potrebbe pensare che se l'autore dell'attacco ha il nome / pass corretto e lo inserisce nell'app misteriosa, otterrà il codice per accedere al sito web. La parte che manca all'utente malintenzionato, tuttavia, è l'identificativo univoco sul dispositivo originale, quindi il suo codice non sarebbe valido.
Un altro esempio potrebbe essere quando accedo a Google. Ho configurato Google per inviare un SMS al codice quando effettuo l'accesso. Ottengo quel codice sul mio telefono. Se accedo a Google dal mio telefono, il fattore "2" viene inviato allo stesso telefono. Questo è ancora 2FA perché uno deve conoscere il nome / passaggio e avere accesso al telefono.
Se un utente malintenzionato ha accesso sia al "know" che al "have", allora è comunque game-over. Proprio come se un ladro avesse le tue chiavi di casa e il tuo codice di allarme.
Leggi altre domande sui tag authentication multi-factor