Come implementare 2FA senza telefono utente

2

Ho un problema: gli utenti condividono le loro credenziali con altri utenti. Devo creare un modo per garantire che gli utenti utilizzino le proprie credenziali per accedere al sistema. Penso di creare un'autenticazione a 2 fattori, ma non posso usare il telefono dell'utente. Qualcuno conosce un modo per farlo attraverso software e non hardware (come un dispositivo biometrico)?

C'è un dettaglio che elimina le soluzioni sull'educazione degli utenti. Alcuni utenti hanno riferito che le loro credenziali sono state rubate e utilizzate da ex funzionari, e sfortunatamente abbiamo avuto un caso reale con questa situazione.

    
posta carlos 30.01.2018 - 03:23
fonte

2 risposte

8

Gli accessi a 2 fattori consistono in due o tre cose: qualcosa che hai, che sei o conosci. Le password sono qualcosa di noto, quindi dovresti implementare qualcosa che sei o hai. La biometria, cioè "misurare le persone"; scanner per iris, scanner per impronte digitali, voiceprints, scanner per le mani e riconoscimento facciale sono esempi di dati biometrici che richiedono attrezzature specializzate o può facilmente essere ingannato da qualcuno con accesso a un negozio di dollari . Quindi, a meno che tu non abbia un supervisore umano, i dati biometrici sono fuori.

Quindi lascia qualcosa che hai.

Un modo semplice e fastidioso per farlo è limitare gli accessi degli utenti al proprio computer. Certo, conosci la password di Bob, ma non hai il suo computer. Quindi il login fallisce. Questo è il modo più economico per farlo. Altrimenti puoi rilasciare token hardware. Quindi inserire la password e il codice dal token hardware o inserire il token hardware nella porta USB.

La sfida a fare questo via software è avere qualcosa che hai o sei. Il software per definizione non è generalmente né l'uno né l'altro.

PS lo sai già, ma hai un grosso problema con le persone che condividono password. In effetti non hai una pista di controllo o un modo per ritenere specificamente qualcuno responsabile di ciò che è stato fatto sotto il loro login. Presumo che tu lo sapessi già ...

    
risposta data 30.01.2018 - 03:47
fonte
3

Sto trasformando i miei commenti precedenti in una risposta appropriata

La soluzione per bloccare la condivisione dell'account all'interno della tua azienda è

Educa l'utente e amp; Rendi conveniente la registrazione

Nessun espediente al mondo impedirà agli utenti di condividere account se non sono informati a riguardo. Non importa quanto sia strong il 2FA è accoppiato alla persona. Richiedere un campione di DNA al momento del login spinge le persone a tenere un barattolo di sputo oltre alla loro scrivania.

Educa i loro utenti e spiega loro perché la perdita di audit trail è dannosa per loro (e per i loro colleghi).

Se la tua registrazione è ingombrante, rendila più semplice. Ad esempio, invece di inviarti (l'amministratore) un'e-mail, magari creare un semplice modulo web dove possono registrarsi con il loro ID dipendente.
Abbassare i limiti di entrata è sempre buono quando si tratta di fermare la condivisione dell'account.

Questa risposta è diventata obsoleta dopo la modifica della domanda

    
risposta data 30.01.2018 - 11:17
fonte

Leggi altre domande sui tag