Il numero di National Insurance è considerato per l'autenticazione a 2 fattori

1

Il numero di assicurazione nazionale è considerato come qualcosa che hai per l'autenticazione a 2 fattori in quanto è univoco per ogni individuo?

    
posta Avinash Kaur Babra 09.09.2016 - 11:29
fonte

4 risposte

3

No, qualcosa come il numero di National Insurance è "qualcosa che conosci".

Potrebbe essere considerato un fattore di autenticazione, tuttavia non molto buono perché spesso viene rivelato da un individuo.

"Qualcosa che hai" dovrebbe essere qualcosa che non può essere facilmente copiato. Idealmente un token hardware, tuttavia recentemente i telefoni cellulari con autenticazione tramite SMS e smart phone con OTP con chiavi seed sincronizzate sono stati considerati "qualcosa che hai", anche se l'SMS potrebbe essere intercettato, o il seme OTP condiviso tra i dispositivi .

Questa è una definizione allentata della frase, tuttavia di solito è più che adeguata per le esigenze della maggior parte delle persone. Si sconsiglia l'uso di SMS se lo snooping governativo costituisce una minaccia e, in tal caso, esaminare attentamente le OTP in un'applicazione telefonica.

    
risposta data 09.09.2016 - 13:06
fonte
1

Assolutamente no dato che hai poco controllo su chi ha accesso ad esso.

Sebbene sia (dovrebbe essere comunque) considerato Personally Identifiable Data (PID) e trattato di conseguenza, sarà disponibile per molti sistemi in molte organizzazioni.

Inoltre, faresti bene a considerare se sia effettivamente unico. Se ricordo bene, nel Regno Unito, ci sono state diverse volte in cui i sistemi hanno creato numeri duplicati. Questo è stato uno dei motivi per cui è stato creato un nuovo schema di numeri NHS.

    
risposta data 09.09.2016 - 13:08
fonte
1

No, il motivo principale per l'autenticazione a due fattori è questa:

Qualcuno che ascolta sulla rete o tramite keylogger o screenlogger, ecc. può rubare la tua password E tutto il resto che fornisci con il login. L'idea è di impedire l'accesso di un utente malintenzionato anche se riesce a ottenere tutti i dettagli di una singola sessione di accesso. Dal momento che il Numero di assicurazione non cambia, non ottieni alcuna sicurezza.

È di vitale importanza che la password / il token utilizzato nell'autenticazione di 2factor cambi ogni volta.

    
risposta data 09.09.2016 - 13:20
fonte
1

Questa è almeno parzialmente una risposta UX ma a meno che non lavori per HMRC (e probabilmente neanche allora) non puoi davvero garantire che il tuo utente abbia un numero NI. Se non lavori a HMRC (o nel reparto stipendi del datore di lavoro dell'utente, o in alcuni altri casi) non hai alcuna attività commerciale che lo memorizzi.

Inoltre: potrebbero essere necessarie settimane per ottenere un numero NI all'arrivo legittimo nel Regno Unito da adulto. Il processo è reso più difficile se altre normali attività richiedono un numero NI (immagina se ne hai avuto bisogno per ottenere un cellulare per un caso estremo).

Quindi se provi a usarlo hai bisogno di un fallback. Se il fallback è meno sicuro, è una via d'attacco facile. Se il fallback è più sicuro, basta usarlo. Realisticamente, però, non si ottiene molto meno sicurezza di un numero NI. Può apparire sopra il tuo nome nel campo dell'indirizzo di una lettera (visibile dall'esterno). È spesso memorizzato in database con molti utenti reali diversi che non sono controllati, ecc.

(questo è inteso per rispondere alla domanda di fondo - la domanda nel titolo può essere risolta semplicemente con "no", questo entra in alcuni dei "perché")

    
risposta data 09.09.2016 - 14:46
fonte

Leggi altre domande sui tag