Perché inviare più codici e chiedere all'utente di inserire solo uno?

0

Considera il seguente scenario (reale): Quando si effettua l'acquisto online di una carta di credito / debito, la banca invia un SMS contenente 4 diverse "password" numerate e quindi invita l'utente a inserirne uno specifico (1, 2, 3 o 4).

Quali sono i vantaggi di sicurezza forniti da questo, invece di inviare solo un singolo codice?

    
posta develroot 29.10.2017 - 15:44
fonte

1 risposta

1

Non aggiunge nulla.

Il problema con lo SMS come 2FA è che un SMS può essere intercettato in transito o afferrato dal telefono dell'utente a causa del malware. L'invio di uno, quattro o cento codici è uguale. Se l'attaccante può ottenerne uno, può ottenerli tutti.

Potresti fornire all'utente una scheda con centinaia di codici e inviare un messaggio per chiederne uno specifico, come questo:

In questo modo, a meno che l'utente malintenzionato non riceva la scheda password e intercetti il messaggio, l'utente è protetto.

    
risposta data 29.10.2017 - 16:27
fonte

Leggi altre domande sui tag