L'autenticazione basata su telefono è più sicura delle password?

1

Diciamo che chiedo al mio utente di fornire email, nome e cognome, ultimo 4 di ssn, data di nascita e numero di telefono. Al momento dell'accesso, invio un pin a 4 cifre come testo.

Considerando che gli utenti tendono a riutilizzare le password e molte password del sito vengono violate, non ha più senso usare il telefono (qualcosa che hai)?

L'UX è fantastico.

Per chiarire, se la password è qualcosa che sai e il telefono è qualcosa che hai, perché non usare solo uno dei due. Usa solo qualcosa che hai (telefono)?

Quali sono gli svantaggi. Le persone di tutto il mondo indovinano e rubano le password tutto il tempo, ma solo le persone vicino a me possono rubare il mio telefono.

Sembra meglio vero?

    
posta Jonathan 14.07.2016 - 02:15
fonte

2 risposte

-1

L'utilizzo di un telefono è un altro modo di utilizzare l'autenticazione a più fattori e aumenta sicuramente la sicurezza se eseguita correttamente. Non è un sostituto per una password o altre informazioni, ma spesso l'autenticazione usa contemporaneamente "qualcosa che hai" e "qualcosa che conosci" per verificare, in quanto riduce la possibilità che a) la tua password venga rubata eb) la tua il telefono viene rubato o violato

Dichiarato in modo diverso, se hai il tuo telefono e qualcuno ti ha infilato la password, questo può impedirgli di ottenere accessi non autorizzati. Se hai la tua password ma qualcuno ti ruba il telefono, questo può comunque impedirgli di ottenere l'accesso non autorizzato. Qualcuno dovrebbe avere il tuo telefono E conoscere la tua password per molte modifiche importanti, che è un ulteriore salvaguardia.

Sebbene sia un metodo sicuro, ci sono due principali svantaggi: 1) l'ovvio, che se il telefono viene perso, rubato, sostituito, morto, ecc., l'intero processo è discutibile. Se non c'è password, non c'è soluzione. 2) Questo è un processo ingombrante che la maggior parte degli utenti non vorrebbe fare. Nonostante queste difficoltà, la 2FA sta diventando più diffusa perché è molto più sicura di una password o di un testo JUST.

In termini di sicurezza, questo non è necessariamente "più sicuro" o "meno sicuro" se si utilizza un solo metodo (telefono); sono suscettibili a diverse forme di attacco. Potresti considerarlo un po 'più sicuro nel complesso, supponendo che non sia mai successo nulla al telefono, ma questo fa parte dell'autenticazione a più fattori. Ma anche così, proteggere il telefono è ancora solo metà della battaglia. Gli attacchi MitM per ricevere il testo, ad esempio, rappresentano nuove minacce rispetto a una password che utilizza SSL / HTTPS. Inoltre, il valore casuale può essere indovinato tramite attacchi arcobaleno.

Probabilmente starai meglio costringendo le password più forti a bilanciare la praticità.

    
risposta data 14.07.2016 - 02:24
fonte
0

La password è qualcosa che un utente potrebbe conoscere, ma non necessariamente esporre. Il telefono è qualcosa che ti tengo vicino, ma è regolarmente esposto, a volte lasciato incustodito, periodicamente non operativo.

La conoscenza può essere dirottata \ catturata quando la digiti e invia le tue credenziali sulla rete.

Il telefono può essere spezzato da te nel trasporto pubblico o per strada, ecc. Può scaricare la sua batteria negandoti l'accesso. La copertura di rete può svanire e lasciarti indifeso.

Cambiare una password di solito è un compito banale, per quanto riguarda il telefono? Vado all'estero e potrei usare un telefono diverso lì, non un problema quotidiano, ma aggiunge solo un po 'più di complessità.

Riesco a vedere in che modo il telefono è un'opzione meno affidabile con maggiori rischi e dipendenze esterni. Immagino anche che i tuoi utenti sarebbero persone con diversi tipi di telefoni, portatori e abitudini, potenzialmente introducendo ancora più scenari in cui il telefono ostacolerebbe la loro capacità di essere autenticati dal tuo servizio.

    
risposta data 14.07.2016 - 18:02
fonte

Leggi altre domande sui tag