Un id di sessione può essere considerato un fattore valido in 2FA?

Naviga le tue risposte
0

Come indicato in questa domanda :

Two-factor or multi factor authentication is based on three possible forms of authentication:

  • Something you know which is considered secret (password)

  • Something you have (token, SMS token, card,...)

  • Something you are (biometrics)

Dato che un ID di sessione viene ottenuto dopo una corretta autenticazione, potrebbe essere considerato come "qualcosa che hai" ottenuto da "qualcosa che conosci" (ad es. utente / password)?

Ad esempio, se voglio autorizzare un'operazione specifica utilizzando la biometria, la coppia ("ID di sessione", "biometria") dovrebbe essere considerata un'autenticazione a due fattori valida?

    
posta Jausk 15.03.2018 - 14:31
fonte

1 risposta

1

I termini "qualcosa tu ...." hanno lo scopo di illustrare con esempi quali sono i concetti sottostanti. Sarebbe sbagliato inferire una relazione inversa; gli esempi non definiscono il concetto.

Di solito, quando parliamo di ID di sessione, stiamo parlando di sessioni HTTP. Qui l'ID di sessione ha 2 funzioni:

  1. funge da surrogato delle credenziali al posto di fornire il tuo nome utente e password ad ogni richiesta

  2. fornisce un mezzo affinché l'applicazione mantenga lo stato (ad esempio il contenuto del carrello) tra le richieste

Poiché funge da surrogato per la password (nome utente e password) piuttosto che accanto a esso, non è l'autenticazione a 2 fattori.

I dati di autenticazione sono forniti dalla parte che cerca di essere autenticata, tuttavia un ID di sessione viene generato dal servizio e viene riflesso dal client. Non sono quindi dati di autenticazione. Permettere ai clienti di scegliere il proprio ID di sessione crea vulnerabilità di sicurezza.

Questo non vuol dire che i dati persistenti memorizzati nel browser non possano essere utilizzati come secondo fattore ("registrazione del dispositivo"), ma questo dovrebbe essere inserito indipendentemente dalla sessione dell'applicazione dell'utente.

    
risposta data 15.03.2018 - 15:45
fonte

Leggi altre domande sui tag

In che modo i punti di accesso gestiscono le password tentate? [duplicare] Che cosa significa in realtà se una sessione TCP viene dirottata?