Un pin generato dall'hardware oltre alla verifica SMS conta come autenticazione a due fattori?

1

Sono un po 'confuso riguardo alla definizione dell'autenticazione a due fattori. Un metodo di accesso che contiene una verifica di pin e SMS generata dall'hardware costituisce un'autenticazione a due fattori?

    
posta Varun Chopra 12.10.2016 - 02:20
fonte

2 risposte

3

A rigor di termini 2FA significa solo due fattori utilizzati per autenticare un utente.

Ciò che di solito vediamo è un'autenticazione basata su password associata a un codice OTP (One-Time Password) generato da SMS o app (ad esempio RSA Secure ID o Google Authenticator).

Nel tuo esempio, vengono utilizzati due fattori.

  1. PIN generato dall'hardware
  2. Verifica SMS

Tuttavia questo non è conforme alle migliori pratiche in cui sono considerati almeno due dei seguenti principi.

  • Chi sei (Identificazione), come se avessi appena indicato il tuo nome utente.
  • Che cosa sai (prima autenticazione), come dare la tua password.
  • Cosa hai (seconda autenticazione), come dare un OTP da un token / app.
  • Che cosa sei (terza autenticazione), come dare la scansione IRIS o l'impronta digitale (anche se questo è discutibile perché alcuni affermano che la bio-metrica è un mezzo di identificazione).

Sia l'SMS che il PIN generato dall'hardware sono nella categoria "Cosa hai". Se si utilizzano due fattori "What you have", entrambi hanno probabilità di essere rubati [Ricordare perché notificare le password è una cattiva pratica.]

    
risposta data 12.10.2016 - 03:38
fonte
1

La maggior parte dei professionisti di infosec si riferisce a una soluzione di autenticazione come "a due fattori" quando combina i fattori di due diverse categorie dell'autenticatore: cosa sai, cosa hai e cosa sei (dati biometrici). Un dispositivo hardware che genera un PIN (presumibilmente una sola password?) E un telefono che riceve un codice di verifica SMS (presumibilmente generato in modo casuale dal server di autenticazione) normalmente saranno considerati due fattori "che cosa hai".

Pertanto non soddisfano la normale definizione di autenticazione a due fattori, nonostante offrano una protezione piuttosto buona contro gli attacchi.

    
risposta data 12.10.2016 - 03:13
fonte

Leggi altre domande sui tag