I token software 2FA sono difettosi se l'utente può accedere al sito Web dallo stesso dispositivo mobile?

0

Se sto usando qualcosa come Authy per i token software per i miei utenti, e accedono all'applicazione Web sul dispositivo mobile stesso, non hanno semplicemente perso il vantaggio di 2FA (ovvero la perdita del cellulare da solo può risultare in compromissione di entrambi i fattori )?

In tal caso, esiste un modo affidabile per impedire agli utenti di autenticarsi sullo stesso dispositivo mobile (o anche su qualsiasi dispositivo mobile)?

Modifica: ho scoperto che Authy (almeno su iOS) consente di impostare un PIN di accesso, che aiuta gli utenti fidati. Ora, se ci fosse un modo per far rispettare il PIN, sarei completamente felice.

    
posta Jack Douglas 21.11.2014 - 16:09
fonte

1 risposta

3

Sì, perde parte della protezione poiché non riesce a proteggerli se il dispositivo è completamente compromesso. Tuttavia, tuttavia, protegge da qualsiasi numero di attacchi limitati.

Ad esempio, se sono configurati per connettersi tramite un proxy che può rimuovere la crittografia, la 2FA rimarrà al sicuro. Se il DB password è compromesso da qualche parte in cui hanno usato la stessa PW, la 2FA rimarrà al sicuro. Se usano l'account su un altro computer a volte e quel computer è compromesso, la 2FA sarà al sicuro.

Un completo compromesso del telefono è un caso di errore, ma è solo uno dei tanti possibili casi di errore. Vale la pena di avvisare l'utente che è sconsigliato effettuare il login sullo stesso dispositivo che usano per la 2FA, ma in definitiva fornisce ancora più vantaggi di quanto non avrebbe alcun secondo fattore.

    
risposta data 21.11.2014 - 16:25
fonte

Leggi altre domande sui tag