L'e-mail OTP migliora la sicurezza dell'autenticazione a 2 fasi?

2

Ci sono state domande simili prima in cui la gente afferma che l'utilizzo di altri mezzi (sms, dispositivi hardware, ecc.) è un modo più sicuro per fornire l'autenticazione a 2 fattori. A condizione che non abbiamo un'opzione per farlo in questo modo, una semplice e-mail OTP migliorerà la sicurezza rispetto a solo username / password? È possibile che in un modo o nell'altro potrebbe indebolirlo?

Il flusso è così:

  1. L'utente inserisce un nome utente / password e accede al registro
  2. L'utente riceve un'e-mail con un OTP che inserisce nel campo che è visibile dopo il completamento del punto 1
  3. Se l'utente esegue il punto numero 2 entro 5 minuti dopo aver completato il punto numero 1, ha effettuato l'accesso (in altre parole la scadenza OTP è di 5 minuti).

OTP è una semplice stringa di simboli maiuscoli 6 come quella: ARKOGD

    
posta Ilya Chernomordik 04.02.2016 - 12:33
fonte

2 risposte

5

Questo è essenzialmente lo schema che Steam utilizza se accedi da un dispositivo "sconosciuto".

Aumenta leggermente la sicurezza, in quanto un utente malintenzionato dovrebbe compromettere sia la combinazione nome utente / password per l'applicazione, sia l'account e-mail dell'utente. Ciò rende effettivamente inutili gli attacchi non mirati.

Questo potrebbe essere considerato come una cosa negativa - se il sistema non incorpora anche le protezioni standard contro gli attacchi di forza bruta, sarebbe relativamente facile provare liste di potenziali nomi utente e password comuni, cercando la seconda schermata di accesso da visualizzare , quindi indirizzare specificamente quegli utenti. Gli utenti potrebbero presumere che dal momento che non hanno tentato di accedere, l'email deve essere un errore, e quindi non si rendono conto che potrebbero venire attaccati.

Inoltre, non funziona bene per alcune circostanze, ad esempio per un'applicazione mobile. Molte persone oggigiorno ricevono e-mail ai loro telefoni, quindi un utente malintenzionato che ha accesso al dispositivo mobile potrebbe essere in grado di accedere senza ulteriori sforzi. Questo non è diverso da un token SMS però.

C'è anche un leggero impatto sull'usabilità, specialmente per gli utenti che potrebbero non essere altamente qualificati con la navigazione web. In alcuni casi, il passaggio tra un modulo di accesso e un client di posta elettronica (anche se in un'altra scheda) può causare problemi, con conseguente frustrazione con il sito. Questo è probabilmente il motivo per cui Steam utilizza questo metodo solo per i "nuovi" dispositivi (o almeno, quelli in cui i cookie sono disabilitati, il che a sua volta suggerisce un livello ragionevole di consapevolezza della sicurezza).

    
risposta data 04.02.2016 - 12:51
fonte
2

Bene, è a due fattori, quindi aggiunge un po 'di sicurezza. Non è un ottimo fattore due, per un paio di motivi. È molto probabile che l'utente legga le e-mail sullo stesso computer con cui accedono al servizio, ma questo è anche un problema con gli SMS per un sacco di tempo. E ovviamente l'email è un canale molto insicuro.

Ma nel complesso di solito sarà meglio di niente, da un punto di vista puramente di sicurezza.

Tuttavia, potrebbe non valere la pena di degradare l'esperienza utente: ad esempio, l'e-mail è spesso un po 'più lenta degli SMS, quindi l'utente dovrà attendere anche i filtri anti-spam con cui fare i conti. applicazione specifica.)

    
risposta data 04.02.2016 - 12:52
fonte

Leggi altre domande sui tag