Quale secondo fattore è stato accettato su un'app mobile?

Question

Quale secondo fattore è stato accettato su un'app mobile?

#1 da (1 voti)

1

Per rispettare la filosofia 2FA, dopo un primo fattore di autenticazione (login / password), dobbiamo richiedere un secondo fattore di autenticazione.

Ma per un'app mobile, suppongo che non possiamo usare SMS OTP, e-mail OTP o TOTP (con un'altra app mobile) perché tutte le tecniche potrebbero essere accessibili dallo stesso cellulare?

Quindi per un'app mobile l'unico 2 ° fattore autorizzato è un dispositivo separato (ad esempio: Yubikey, Nitrokey, ecc.)

È sufficiente se chiediamo qualcosa che abbiamo conosciuto (userID + codice PIN esadecimale) e qualcosa che abbiamo (solo questo dispositivo mobile)? Sul dispositivo è installata una chiave privata ECDSA e il server può verificare che si tratti del dispositivo mobile valido con la firma.

multi-factor u2f

posta lakano 06.11.2017 - 00:41

fonte

1 risposta

Leggi altre domande sui tag multi-factor u2f

Funzioni ROP di Windows 7 mappate su 0x00 ######## Sessione: memorizzazione di una password della chiave di crittografia

score 1 · Accepted Answer

Dipende tutto dalla minaccia che vuoi contrastare. La tua proposta di attenuazione della minaccia (che richiede un dispositivo separato) è appropriata per la minaccia di qualcuno che ottiene l'accesso non autorizzato al dispositivo. Ma è sovracompensato per la tua dichiarata minaccia di qualcuno che ottiene l'accesso non autorizzato all'account di un utente tramite l'app.

Nello scenario di minaccia dichiarato, l'attore non autorizzato installa l'app e utilizza le credenziali della vittima per accedere. Ciò può essere mitigato utilizzando i processi MFA sul dispositivo autorizzato dell'utente autorizzato.

Ci sono diversi modi per fare ciò: inviare codici OTP, un'app di generazione TOTP locale o avere un processo per registrare e autorizzare il dispositivo.

L'autorizzazione del dispositivo è una forma "che cosa hai" della metodologia MFA.

C'è solo una cosa che devi considerare: la sicurezza dei processi di registrazione di quel dispositivo.

Se un utente malintenzionato ha le credenziali dell'utente, può anche registrare un dispositivo non autorizzato? Se è così, allora devi considerare questo nuovo scenario di minacce.

È qui che avere un processo di autenticazione completamente separato è molto utile, come un'app TOTP sul telefono. In questo modo, l'utente malintenzionato ha bisogno delle credenziali per il proprio servizio e delle credenziali per il servizio TOTP.