Perché l'autenticazione a più fattori è presentata in due passaggi anziché in uno [duplicato]

0

Quando utilizzo l'autenticazione a due fattori di Google Authenticator, Google mi dirà se ho sbagliato la password prima di richiedere un codice di autenticazione.

Questo va contro almeno una linea di ragionamento intuitivo - consente a un utente malintenzionato di verificare se ha la password corretta prima di tentare di attaccare l'autenticazione a due fattori.

Quali sono i compromessi che rendono questa scelta ragionevole nel caso di Google e in generale? Come dovrebbe informare domande simili in altri spazi?

Questa domanda riguarda generalmente i 2FA, ma Google è solo un esempio ampiamente utilizzato.

    
posta jtpereyda 05.03.2018 - 20:40
fonte

2 risposte

2

Impedisce all'utente malintenzionato di sapere se si implementa l'autenticazione a più fattori, riducendo così la superficie di attacco.

Modifica: ti permetterà anche di essere avvisato se la tua password è stata compromessa senza consentire a qualcuno di entrare nel tuo account. Ciò consentirà agli utenti che non implementano la pratica della sicurezza di password univoche per risolvere il problema prima che si verifichi una violazione altrove.

    
risposta data 05.03.2018 - 20:48
fonte
1

Questa è un'usabilità contro un problema di sicurezza. Non dire che la password era sbagliata fino a quando non ti sei autenticato tramite l'app sarebbe effettivamente leggermente più sicuro. Ma d'altra parte, non sarebbe un'esperienza utente molto positiva.

La perdita di sicurezza qui è minima, dato che Google è molto bravo a bloccare i tentativi di forza bruta. La password dovrebbe essere pessima, altrimenti l'hacker dovrebbe avere delle conoscenze a riguardo, perché funzioni.

Quindi capisco perché Google abbia optato per l'usabilità qui. Vogliono che le persone utilizzino 2FA e il modo migliore per convincere le persone a farlo è di offrire loro un'esperienza utente fluida.

    
risposta data 05.03.2018 - 20:49
fonte

Leggi altre domande sui tag