Questo sito Web afferma che password + cookie conta come 2FA

Naviga le tue risposte
2

Accedo a un sito Web e fornisco un ID utente, una password e un PIN unico fornito tramite EMail o SMS. Seleziono anche la casella di controllo "Registra dispositivo" per registrare il mio desktop.

In un accesso successivo, devo solo fornire il mio ID utente e password. Presumibilmente, un cookie creato durante la registrazione del dispositivo viene inviato anche al sito.

La mia domanda è, il secondo accesso è considerato MFA (password + cookie di registrazione) oppure il cookie sospende MFA per un po 'di tempo e il secondo e successivi accessi NON sono MFA? Dipende dal contenuto del cookie o dall'implementazione lato server?

Il sito web sta sostenendo che il secondo accesso è MFA in quanto il cookie di registrazione del dispositivo costituisce un fattore di autenticazione, ma non mi sembra giusto.

    
posta ALoginName 20.09.2017 - 03:47
fonte

1 risposta

1

La tua domanda riguarda molto più le definizioni piuttosto che l'effettiva sicurezza reale del sistema. Quindi definiamo alcuni termini prima di arrivare alla tua domanda:

Come ho imparato, ci sono tre ampie categorie di autenticatori:

  • Conoscenza (qualcosa che sanno) - password e altri segreti
  • Possessione (qualcosa che hanno) - accesso a un account email per recuperare il PIN una tantum
  • Inerenza (qualcosa che sono) - di solito biometria come riconoscimento facciale, finegerprint o scansione dell'iride

Prendendo in prestito dal tag wiki per multi-fattore (che ho scritto):

If you are required to provide a proof of identity from more than one of the above categories, then it is properly "Two Factor Authentication", or "Multi-Factor Authentication". If you are providing multiple items from the same category, then it's called "Multi-Step Authentication", which is obviously weaker than multi-factor.

Wikipedia sembra essere d'accordo con questa definizione.

Cool. Così come per il tuo sito web,

I login to a website and provide a UserID, Password and one-time PIN delivered via EMail or SMS.

  • Password = Conoscenza
  • Email / SMS = possesso.

== > Passaggio! Questo è MFA.

My question is, is the second login considered MFA (Password + registration cookie)?

  • Password = Conoscenza
  • Cookie = Conoscenza (del testo)? Possesso (del dispositivo)? Incerto.

== > Discutibile.

Argomentazioni per "sì": se il cookie è implementato correttamente, allora conta come possesso del dispositivo.

Argomenti per "no": i fattori di tipo possesso dovrebbero essere immuni agli attacchi di registrazione e riproduzione; con qualsiasi tipo di codici monouso - token hardware, app, e-mail, SMS, ecc. - il server non ti permetterà di usare lo stesso codice due volte. Lo stesso vale per le chiavette / tessere USB crittografiche che è necessario inserire nel laptop. In questo caso, qualcuno che intercetta il tuo traffico verso il sito web attaccherà sia la tua password che i cookie nello stesso pacchetto e sarà quindi in grado di accedere come da qualche altra parte.

Detto questo, protegge il tuo account contro, ad esempio, il furto del database delle password o il riutilizzo di una tua password da un altro sito che compare in un database delle password trapelate . Discutibile.

In termini tecnici, probabilmente è 2FA / MFA e offre più sicurezza rispetto a password o cookie da solo, ma meno di continuare a fare la cosa Email / SMS.

    
risposta data 20.09.2017 - 04:56
fonte

Leggi altre domande sui tag

Sostituzione della schermata di nome utente e password con una schermata con codice PIN per un accesso mobile più semplice Per quanto tempo dovrebbe essere un codice di conferma dell'email per evitare la forzatura bruta