OTP per la sincronizzazione del dispositivo mobile

1

Scenario: un'app Web con autenticazione a due fattori che utilizza nome utente / password e OTP hardware.

Una volta effettuato l'accesso all'app, è necessario utilizzare uno dei moduli dell'app in un tablet o qualsiasi dispositivo mobile senza una porta USB disponibile. Se l'applicazione è in grado di generare un OTP e associarlo a un utente, consentire all'utente di accedere all'app dal cellulare utilizzando solo quel codice?

  1. L'utente accede da un computer.
  2. L'utente genera un OTP dall'app.
  3. L'utente visita il link .
  4. L'utente inserisce la password e OTP.
  5. L'utente viene autenticato e l'OTP viene annullato.

C'è un modo migliore per affrontarlo?

    
posta Carlos Arturo Alaniz 01.09.2014 - 07:07
fonte

1 risposta

1

Penso che questo sia un approccio ragionevole, in quanto abbiamo visto innumerevoli siti Web compromessi e milioni di password rubate. L'utilizzo dell'autenticazione a due fattori riduce il rischio.

A seconda del livello di sicurezza dell'installazione, non è necessario un OTP basato su hardware. OPT basato sul software, come Google Authenticator, sarà sufficiente nella maggior parte dei casi.

Puoi utilizzare Google Authenticator per Android , < a href="https://itunes.apple.com/us/app/google-authenticator/id388497605?mt=8"> iOS , Windows Phone o Windows .

Ci sono librerie per usarlo in PHP , Perl e ASP . Puoi persino utilizzarlo con SSH .

Oltre ad essere a buon mercato (gli utenti in genere hanno già uno smartphone), i token basati su software sono più difficili da perdere, in quanto richiede all'utente di perdere o ripristinare il telefono in fabbrica. Questi casi possono essere risolti inviando un link di reset all'utente, chiedendo alcune altre informazioni per autenticare l'utente, come una domanda segreta, un numero di telefono o qualsiasi altra informazione che è difficile da indovinare .

    
risposta data 01.09.2014 - 15:40
fonte