Sembra stupido chiedere di utilizzare l'autenticazione a due fattori senza TLS / SSL, ma, ho un fornitore che sta usando IP pubblico senza TLS e richiede credenziali di accesso.
L'accesso sarebbe più sicuro se l'autenticazione a due fattori fosse abilitata senza TLS?
Usando qualcosa come Google Authenticator e, sapendo che le chiavi sono effimere, la finestra per rubare le credenziali sarebbe circa < 30 secondi, corretta? Sembra un po 'più sicuro, ma non di molto. Quali sono i tuoi pensieri?
2FA diminuirà la possibilità che un utente malintenzionato possa rubare un set completo di credenziali di accesso perché, come si fa notare, il secondo fattore è probabilmente limitato dalla durata o da una politica di utilizzo una tantum.
Tuttavia, 2FA non influirà sullo snooping o sul controllo delle sessioni . Quindi, mentre un utente malintenzionato potrebbe trovare più difficile accedere come te, può guardare il tuo flusso di comunicazione e inviare messaggi che sembrano provenire dalla tua sessione.
Oltre a fornire riservatezza, SSL garantisce anche che stai effettivamente parlando al server. Senza SSL, un attacco MiTM può far finta di essere il server. Ad esempio, puoi provare a disconnetterti dal server per terminare la sessione, ma un MiTM può intercettare il comando di disconnessione e tornare a una pagina che ti fa sembrare come se fossi disconnesso, anche se non lo avevi.
Quindi potrebbe impedire futuri tentativi di accesso errati ma non ti rende affatto sicuro.
Come ti sei detto: è leggermente più sicuro perché è limitato a un < 30 secondi di tempo, ma non importa molto nel grande schema delle cose: è ancora molto insicuro e aumenterà lo sforzo che gli utenti legittimi dovranno mettere.
Leggi altre domande sui tag authentication web-application tls