L'utilizzo di un token e di un pin per l'accesso a un sistema interno aziendale elimina la necessità di utilizzare nomi utente e password regolari?

Question

L'utilizzo di un token e di un pin per l'accesso a un sistema interno aziendale elimina la necessità di utilizzare nomi utente e password regolari?

#1 da (1 voti)
#2 da (1 voti)

1

Sto valutando un'implementazione dell'autenticazione interna a 2 fattori in un'organizzazione. Il progettista del sistema desidera rimuovere nomi utente e password regolari da tutte le workstation degli utenti, in modo che ogni utente abbia il proprio badge come token di accesso e dovrà inserire una chiave a 6 cifre per accedere alla propria workstation. È una pratica normale? e rende lo scenario più sicuro o meno sicuro? come revisore della sicurezza, trovo questo come una riduzione della sicurezza della workstation perché i pin a 6 cifre sono facili da catturare da attacchi a spalla e rubare un badge è non così difficile. Regolari nomi utente e password complesse sono difficili da catturare con attacchi simili. Ricorda che stiamo parlando di una rete interna con molti altri controlli tecnici. La mia tesi è che usare solo una carta e uno spillo è più vulnerabile agli attacchi fisici interni.

authentication multi-factor

posta AdnanG 09.06.2015 - 08:09

fonte

2 risposte

Leggi altre domande sui tag authentication multi-factor

MITM sniffing dei pacchetti Come simulare gli attacchi di rete e usare wireshark per rilevarli? [chiuso]

score 1 · Answer 1

In pratica auth a 2 fattori significa 2 dei seguenti

Qualcosa che sei
Qualcosa che conosci
Qualcosa che hai

In questo caso sta sostituendo nome utente e password entrambi nella categoria "Qualcosa che conosci" per un codice token e un badge che entrambi rientrano nella categoria "Qualcosa che hai". Quindi c'è un aumento trascurabile nel modo in cui avviene l'autenticazione su quel computer.

Spero che questo aiuti.

score 1 · Answer 2

Il tuo scenario ha molti punti "se". Oversoulder visualizza e memorizza il pin, ottieni il badge, ecc In generale smartcard + pin viene conteggiato come addon al nome utente / password ma in particolari situazioni fornisce abbastanza sicurezza in quanto è in realtà (in una certa misura) autenticazione a 2 fattori (qualcosa che hai e qualcosa che conosci)
Inoltre, il certificato nella smartcard può essere revocato, quindi se la carta viene rubata la conoscenza del pin non aiuta