Sono un po 'confuso riguardo alla definizione dell'autenticazione a due fattori. Un metodo di accesso che contiene una verifica di pin e SMS generata dall'hardware costituisce un'autenticazione a due fattori?
Sono un po 'confuso riguardo alla definizione dell'autenticazione a due fattori. Un metodo di accesso che contiene una verifica di pin e SMS generata dall'hardware costituisce un'autenticazione a due fattori?
A rigor di termini 2FA significa solo due fattori utilizzati per autenticare un utente.
Ciò che di solito vediamo è un'autenticazione basata su password associata a un codice OTP (One-Time Password) generato da SMS o app (ad esempio RSA Secure ID o Google Authenticator).
Nel tuo esempio, vengono utilizzati due fattori.
Tuttavia questo non è conforme alle migliori pratiche in cui sono considerati almeno due dei seguenti principi.
Sia l'SMS che il PIN generato dall'hardware sono nella categoria "Cosa hai". Se si utilizzano due fattori "What you have", entrambi hanno probabilità di essere rubati [Ricordare perché notificare le password è una cattiva pratica.]
La maggior parte dei professionisti di infosec si riferisce a una soluzione di autenticazione come "a due fattori" quando combina i fattori di due diverse categorie dell'autenticatore: cosa sai, cosa hai e cosa sei (dati biometrici). Un dispositivo hardware che genera un PIN (presumibilmente una sola password?) E un telefono che riceve un codice di verifica SMS (presumibilmente generato in modo casuale dal server di autenticazione) normalmente saranno considerati due fattori "che cosa hai".
Pertanto non soddisfano la normale definizione di autenticazione a due fattori, nonostante offrano una protezione piuttosto buona contro gli attacchi.
Leggi altre domande sui tag authentication account-security multi-factor