Considera il seguente scenario (reale): Quando si effettua l'acquisto online di una carta di credito / debito, la banca invia un SMS contenente 4 diverse "password" numerate e quindi invita l'utente a inserirne uno specifico (1, 2, 3 o 4).
Quali sono i vantaggi di sicurezza forniti da questo, invece di inviare solo un singolo codice?
Non aggiunge nulla.
Il problema con lo SMS come 2FA è che un SMS può essere intercettato in transito o afferrato dal telefono dell'utente a causa del malware. L'invio di uno, quattro o cento codici è uguale. Se l'attaccante può ottenerne uno, può ottenerli tutti.
Potresti fornire all'utente una scheda con centinaia di codici e inviare un messaggio per chiederne uno specifico, come questo:
In questo modo, a meno che l'utente malintenzionato non riceva la scheda password e intercetti il messaggio, l'utente è protetto.
Leggi altre domande sui tag authentication one-time-password multi-factor