Would adding two factor authentication to an application increase the attack surface of this application?
Penso che lo farebbe, poiché aggiungendo la complessità la probabilità di una vulnerabilità nella mia applicazione è aumentata e quindi apre un altro percorso che l'hacker può sfruttare per sfruttare il sistema.
Sarebbe giusto?
Per rispondere direttamente alla domanda; dipende dall'implementazione e / o dal caso d'uso.
Non è così semplice come "più funzionalità equivalgono a un rischio maggiore". L'autenticazione a 2 fattori assicura che ci siano almeno due canali utilizzati come previsto e quindi dimostrano che la richiesta di autenticazione è più che probabile corretta.
Ciò sconfigge la maggior parte degli attacchi resi possibili da intercettazioni su una trasmissione tra le parti. Supponendo che l'implementazione sia sicura, 2FA aumenta enormemente la sicurezza (e in una certa misura l'autorizzazione). Tuttavia, assumere le cose è sempre una cattiva idea, specialmente nel caso della sicurezza delle informazioni.
L'autenticazione a due fattori è un ottimo modo per impedire l'accesso non autorizzato, specialmente se si utilizza un prodotto già in fase di sviluppo e con il tempo di maturare. Se scegli di tirare il tuo 2-fattore da zero ti esponi a molti rischi, allargando così la tua superficie d'attacco. Quando cerco un fornitore, guardo qualcosa come SecurID di RSA che è un'eccellente implementazione di 2 fattori.
Leggi altre domande sui tag authentication web-application multi-factor