È sicuro rendere l'utente in grado di disabilitare 2FA con 2 domande di sicurezza se hanno perso i codici di backup?

2

Sto sviluppando un'applicazione e gli utenti possono aggiungere 2FA al proprio account. tuttavia, se un utente ha perso i codici di backup di 2FA e ha disconnesso l'account su tutti i dispositivi, è sicuro renderli in grado di disabilitare 2FA utilizzando 2 domande di sicurezza pre-impostate?

    
posta Bhanuka Yd 13.10.2018 - 14:28
fonte

1 risposta

2

Non direi di usare le domande di sicurezza perché praticamente tutto è "sicuro".

Ci sono stati così tanti compromessi sulle informazioni personali, che vanno dal finanziario (Equifax) al social (Facebook), non è improbabile che le risposte non siano compromesse.

Domande come il nome da nubile della madre, la cronologia scolastica, la prima auto, ecc. Potrebbe essere parte di una violazione, o essere scaricata da un'e-mail o da un'app di appuntamenti (di solito mostrano la cronologia di occupazione e istruzione per impostazione predefinita ora).

La possibilità di aggirare o disabilitare la 2FA è uno dei punti deboli attuali di come è stato impiegato di recente. A seconda delle risorse suggerirei alcune alternative.

  • Lascia che scelgano "nulla" (e l'account è bloccato per sempre)

  • Considera di consentire agli utenti di utilizzare i propri account Google / Facebook per accedere (non ti devi preoccupare di 2FA in quanto è un problema di Google / FB)

  • consenti loro di specificare un'email di recupero (diversa dalla loro normale email, che riceve l'email di ripristino)

  • invia una lettera fisica all'account su file

  • invia un'email / chiamata / SMS, quindi attendi un periodo di tempo (giorni) e se non ricevi risposta dal proprietario dell'account consenti un accesso senza 2FA (l'idea è che risponderebbero se il tentativo non fosse valido / non da loro).

risposta data 13.10.2018 - 16:25
fonte

Leggi altre domande sui tag