L'OTP può essere implementato senza 2FA? [duplicare]

Naviga le tue risposte
1

Diciamo che abbiamo un sistema in cui registriamo gli utenti con un nome utente e un numero di telefono, potremmo dire che il sistema autentica l'utente esclusivamente in base al suo nome utente e un OTP inviato al suo numero di telefono (supponendo che il costo di implementazione non sia un fattore) ? Quanto sarebbe sicuro?

    
posta monotonous 31.10.2016 - 11:14
fonte

3 risposte

1

Sarebbe sicuro come il telefono e il trasferimento di token. Cioè se l'utente perde il telefono o se il telefono viene compromesso da malware o se l'utente visualizza i messaggi in arrivo sulla schermata di blocco in modo che anche altri possano vederlo o se qualcuno possa catturare l'SMS (o qualsiasi altra cosa tu usi per inviare), allora tu hai perso. Pertanto è simile all'invio del token per email e sperando che solo l'utente abbia accesso all'account e che nessuno possa annusare il trasporto della posta.

    
risposta data 31.10.2016 - 11:22
fonte
0

Pro

  • Più sicure delle password facili da indovinare.
  • L'utente non farà affidamento su un gestore di password o sulla sua memoria per ricordare la password.
  • Gli utenti non saranno in grado di condividere le password con nessuno, anche se lo desiderano.
  • Esistono molte applicazioni mobili che utilizzano un metodo di autenticazione simile. Esistono molte applicazioni mobili che utilizzano un metodo simile di autenticazione. Quindi è un metodo provato e testato.

Contro

  • Dovrai presumere che l'utente abbia sempre il suo telefono.
  • Devi presumere che siano sempre nell'area di copertura della rete.
  • Per gli utenti che non mantengono i loro telefoni protetti da password sono ad alto rischio.
  • Gli utenti che hanno notifiche onscreen su possono essere a rischio. Tuttavia, se si invia l'OTP verso la fine del messaggio, la maggior parte dei telefoni non lo mostrerà sullo schermo.
  • Ci sono software che possono essere utilizzati per spiare telefoni che possono essere presenti sul telefono di un utente. Senza una password, l'utente malintenzionato può accedere direttamente all'account.

Suggerimento

Per maggiore sicurezza, invia metà OTP al telefono e metà all'email. Sarebbe un metodo lungo ma relativamente sicuro. E penso che questo metodo non possa essere chiamato 2FA come:

Entrambi sono qualcosa che hai.

    
risposta data 31.10.2016 - 12:36
fonte
0

Hmm, sarebbe sicuro fornito , come indicato da Steffen in una risposta (non duplicandola) queste cose non ti capita (telefono che si perde, telefono che mostra la password sulla schermata di blocco, infetto da malware e altri).

Quello che puoi fare in alternativa è che puoi chiedere una stringa casuale anche durante la registrazione (molto simile a una password, quindi con maggiore entropia). E imposta la password come OTP + Random_string . Chiedi all'utente di inserirla nel campo della password con il nome utente come numero di cellulare (o quello che vuoi), che risolverebbe i problemi come affermato da Steffen. Quindi sarebbe molto più sicuro e quasi alla pari con 2FA.

Spero che questo aiuti!

    
risposta data 31.10.2016 - 12:34
fonte

Leggi altre domande sui tag

Coscrizione obbligatoria Schema di crittografia più robusto