Quali sono i motivi per chiedere 2FA prima della password? [duplicare]

Naviga le tue risposte
1

Il flusso di accesso del mio datore di lavoro richiede un nome utente, quindi un 2fa, quindi una password. Lo fanno in questo modo perché temono che qualcuno possa provare a usare password brutali e creare un attacco denial of service bloccando tutti i nostri account. Questo flusso si rompe il mio gestore di password e perché non ho visto un flusso simile altrove sto scommettendo ci sono ragioni convincenti per non fare le cose in questo modo.

Quali sono gli argomenti convincenti per il flusso tradizionale di username -> password -> 2fa ?

    
posta user3642765 29.08.2018 - 15:07
fonte

3 risposte

2

In realtà mi piace il flusso che il tuo datore di lavoro ha di meglio, ad essere onesto. Se non riesci a superare la voce del codice, molto probabilmente non supererai mai il prompt della password (che è quello che bloccherebbe l'account in genere). Quindi, in realtà questo flusso sembra impedirgli di arrivare così lontano.

Penso che la ragione per cui tutti usano il flusso tradizionale è dovuta unicamente al fatto che il loro metodo di autenticazione è già in atto e stanno aggiungendo 2FA come un ripensamento (funzionalità aggiuntiva) piuttosto che averlo incorporato dal terreno fino a implementarlo nello stesso modo del tuo datore di lavoro, o semplicemente non ci hanno pensato allo stesso modo per vedere il beneficio.

    
risposta data 29.08.2018 - 15:40
fonte
2

In realtà mi piace anche il flusso del tuo datore di lavoro, a condizione che gli utenti abbiano un metodo passivo 2FA come app di generatore di codice, Yubikey, ecc.

Se il tuo sistema di autenticazione consente agli utenti di impostare metodi 2FA attivi come E-mail / SMS OTP o di inviare notifiche ai loro telefoni, c'è un motivo totalmente non correlato per inserire 2FA dopo la password: non perché protegge meglio l'account, ma perché un utente malintenzionato può esaurire la memoria di un telefono che riceve migliaia di SMS o notifiche push. Per non parlare del fatto che alcuni operatori di telefonia mobile fanno pagare per gli SMS in arrivo.

Vedi la mia risposta più dettagliata alla stessa domanda generale qui .

    
risposta data 29.08.2018 - 16:31
fonte
0

Entrambe le opzioni sono altrettanto sicure per quanto ne so. Ma non posso essere d'accordo con @Jesse P. answer.

Entrambi i fattori dovrebbero bloccare l'account. Immaginiamo che un utente malintenzionato abbia ottenuto la password della vittima (magari attraverso una perdita di dati, phishing, ecc.), Se il secondo fattore non blocca l'account l'hacker può tentare di impostarlo bruteforcing, anche se cambia nel tempo, finché non è in grado di accedere l'account. Questo non è influenzato dall'ordine in cui sono stati inseriti i fattori di autenticazione.

L'unico rischio possibile in questi scenari - se l'implementazione è corretta - è l'enumerazione degli account dai messaggi di errore o il tempo basato per il secondo fattore.

Come nota a margine, c'è una terza possibilità nel caso in cui tutti gli utenti debbano avere un secondo fattore e tutti hanno lo stesso tipo, cioè chiedere entrambi allo stesso tempo. Prestare particolare attenzione in questo caso per non rivelare quale fattore ha fallito

    
risposta data 29.08.2018 - 16:25
fonte

Leggi altre domande sui tag

Mi piacerebbe essere truffato [chiuso] è possibile creare exploit per software C / C ++ non open source senza fuzzing?