Perché il secondo passaggio dell'autenticazione in due passaggi non è un singolo clic? [chiuso]

2

Il caso

Uso la verifica in due passaggi di Google.

La domanda

Perché Google utilizza un codice come secondo passo? Perché non solo un'app per Android in cui puoi fare clic su "Sono io"?

    
posta Michael 20.10.2015 - 15:41
fonte

1 risposta

3

Se due o più persone tentano di accedere allo stesso account nello stesso momento e solo uno di questi utenti è legittimo, non sarebbe possibile per l'app sapere quale tentativo di accesso deve verificare, senza che l'utente identifichi il loro particolare tentativo in qualche modo.

Come tale ha senso che l'utente applichi un codice direttamente alla sua sessione. Notevole è anche il fatto che i codici sono generati offline, in base al tempo segreto e del dispositivo. L'utilizzo di un pulsante "Sono io" richiede un server intermedio attraverso il quale l'app Web e l'app mobile confermano la richiesta di autenticazione. Ciò aggiunge costi all'app e introduce dipendenze, punto di errore e potenziale punto di vulnerabilità.

@Scott if someone is able to fake a "it's me" notification, that means he have stolen the original secret. He might as well still the your MFA code

Immagina di accedere al tuo account Google e un hacker sta anche tentando di accedere al tuo account Google. Entrambi siete al livello MFA. Solo tu hai il dispositivo MFA.

Premi il pulsante "Sono io" per autenticare ... Quale delle 2 sessioni in attesa si autentica? L'idea "Sono io" funziona solo se selezioni la sessione corretta. In tal caso un codice è più semplice e più sicuro.

In any case, the "that's me" notification can be a response to a challenge sent by the authentication server on your session. In which case you will be notified if an attacker attempted to log in. Any idea why that wouldn't work?

Posso vedere che cosa stai ricevendo con il dispositivo che è stato notificato del tentativo, e poi lo confermi con l'app. Non è un disegno non fattibile. Credo che alla fine si tratta di pro e contro:

Il tuo metodo consigliato:

  • Richiesto server intermedio. Per inviare notifiche, per autenticare dispositivi e sessione
  • I server richiedono manutenzione, costano denaro, possono essere hackerati, possono fallire o essere irraggiungibili.
  • L'app web richiede di parlare con il server di verifica MFA.
  • Funziona solo online.
  • Potenzialmente più buchi di sicurezza e complessità.

Il metodo del codice corrente:

  • libero
  • Funziona offline
  • Nessun server richiesto
  • Apri standard
risposta data 20.10.2015 - 16:45
fonte

Leggi altre domande sui tag