Un nome utente / password + PIN con e-mail contano come 2FA strong?

1

Per accedere a un'app Web aziendale, il nostro team di sicurezza insiste su 2FA poiché è ospitato sulla nostra rete interna.

La soluzione proposta è quella di avere un nome utente standard (indirizzo email) e un accesso con password, che attivano quindi un PIN di quattro cifre inviato via email all'utente che dovranno inserire per accedere.

A mio parere, si tratta di due facce della stessa medaglia (qualcosa che gli utenti sanno) - utilizzando l'indirizzo e-mail, anziché inviare il PIN a un numero di telefono o a un token fisico.

Questo è strettamente 2FA? È significativamente più sicuro, o è solo un ulteriore inconveniente per l'utente in cambio di scarso guadagno?

    
posta Midas 05.06.2014 - 10:30
fonte

1 risposta

3

Da un punto di vista puramente di sicurezza non considererei questo come 2FA (che è tradizionalmente definito come "due di qualcosa che conosci, qualcosa che hai, qualcosa che sei).

Da un punto di vista pratico posso vedere alcuni potenziali problemi con questo in un ambiente aziendale. In molte aziende l'accesso alle applicazioni è legato all'accesso ad Active Directory che viene utilizzato anche per l'accesso al sistema di posta elettronica, quindi un utente malintenzionato con accesso al nome utente / password dell'account utente potrebbe anche essere in grado di ottenere l'accesso al token .

Anche se non sono collegati formalmente molti utenti aziendali nella mia esperienza praticheranno una sorta di single sign-on informale dove sincronizzeranno manualmente le loro password per tutti i sistemi aziendali, quindi ancora una volta un utente malintenzionato con accesso a uno sarà accedere agli altri, ignorando il tuo 2FA.

Se consideri di nuovo un altro probabile scenario di attacco (malware sul PC degli utenti) di nuovo, ignorerebbe questo requisito in quanto sarebbe possibile accedere alle password degli utenti per l'applicazione e il servizio di posta elettronica utilizzando un keylogger.

Quindi, in sintesi, direi che delle tue due opzioni questo è più un ulteriore inconveniente in cambio di scarso guadagno. Se il profilo di rischio dell'applicazione giustifica la 2FA, guarderei a soluzioni di stile 2FA complete (ad esempio, token fisici o dati biometrici)

    
risposta data 05.06.2014 - 10:46
fonte

Leggi altre domande sui tag