Auth a 3 fattori con token RSA?

Naviga le tue risposte
2

La mia azienda ci rilascia token RSA:

Le usiamo quando effettuiamo il login da remoto e ci viene presentato un prompt simile a: 

Username: 

Password:

Security code:

Tutto sembra abbastanza standard; inserisci il nome utente e la password della tua azienda, seguito dal codice sul token. La prima volta che si accede, viene richiesto di creare un PIN, che viene quindi aggiunto all'inizio del codice token RSA da quel punto in avanti al momento del login.

Perché questo è fatto in questo modo? Il token RSA non è forse il secondo fattore nella 2FA? Qual è il guadagno marginale ottenuto da questo, se un utente malintenzionato toglie di mezzo una password aziendale, perché non anche il PIN? Quale altra superficie dell'attaccante viene protetta?

Noterò che l'ho già fatto con un yubikey; ma il 2FA è abbastanza ovvio.

    
posta agentroadkill 14.03.2017 - 21:26
fonte

1 risposta

3

Lo scenario che hai fornito è ancora 2FA e non 3 (come indica la tua domanda). Questo usa solo qualcosa che conosci e qualcosa che devi autenticare. Ora, passando al motivo per cui sarebbe necessario un pin e una password. Hai ragione, in quanto chiedere entrambi non aumenta il "numero di fattori". Ho visto alcune aziende che non usano la password e chiedono solo il nome utente e il codice PIN + RSA. Tuttavia, se il PIN e la password dovessero essere memorizzati in due diversi archivi dati (2 diversi DB, regioni, ecc.), Compromettere uno non sarebbe sufficiente per rompere uno dei due fattori necessari per l'autenticazione.

    
risposta data 14.03.2017 - 21:51
fonte

Leggi altre domande sui tag

Computer, cellulare o sito di destinazione infetto? Come i rootkit dell'hypervisor creano connessioni di rete?