"Strong Authentication" - Autenticazione a più fattori rispetto a più dell'autenticazione con lo stesso fattore [chiusa]

Naviga le tue risposte
0

Ho un dibattito con un collega sull'uso dello stesso tipo di fattore di autenticazione due volte (come l'utilizzo di due password). La mia domanda è se rientra nella definizione di "autenticazione strong".

So che la maggior parte di voi dirà che l'autenticazione a 2 fattori è molto meglio che usare lo stesso tipo di fattore, ma mentre sto rivedendola rispetto a un contratto che specifica "Autenticazione strong" ( e non 2FA ), volevo sapere se pensi che possa essere considerato un'autentica autenticazione.

Inutile dire che stiamo parlando di due insiemi di UID e password.

    
posta RafiG 05.01.2018 - 21:34
fonte

2 risposte

2

Se il contratto richiede "autenticazione strong", penso che sia aperto all'interpretazione. Dipende anche dal tipo di informazioni che stai proteggendo e dal modo in cui si accede a tali informazioni. La mia banca, ad esempio, non richiede l'autenticazione a due fattori per accedere ai miei soldi, ma solo una password sicura.

Per rispondere alla tua domanda, non penso che richiedere due set di nomi utente e password sia più sicuro di uno solo. Il vantaggio dell'autenticazione a due fattori è che se un fattore è compromesso, l'altro probabilmente non lo è. Avere due nomi utente e password è inutile se un desktop degli utenti è compromesso.

    
risposta data 05.01.2018 - 21:59
fonte
0

Mettendo da parte la lingua del contratto e trattando la domanda come detto, no, quello che hai descritto non è l'autenticazione "strong", ma l'autenticazione due volte. Se il design di entrambi è scadente, metterli insieme non li rende più forti.

Potresti dimostrare che si tratta di un "fattore 2", ma dovresti sopravvivere al rischio che un esperto pensi che davvero non sai cosa stai facendo e perdi la fiducia con loro.

Un'autenticazione strong può essere ottenuta con la tua architettura specifica con un strong meccanismo di autenticazione. Canale crittografato, password hash e salate lato server, policy di lockout e meta-politiche relative alla corretta autorizzazione degli account e controllo / monitoraggio degli eventi di autenticazione. È probabile che tu stia facendo tutte quelle cose comunque.

    
risposta data 09.01.2018 - 15:42
fonte

Leggi altre domande sui tag

L'hashing lato client aggiunge qualche beneficio qui? In che modo i servizi di posta elettronica decrittografano una posta crittografata senza la chiave pubblica del mittente? [duplicare]