È meno sicuro richiedere password e telefono all'accesso?

Naviga le tue risposte
0

Sono preoccupato per la sicurezza di un sistema che richiede ai suoi utenti di inserire sia la loro "e-mail e password" sia il loro numero di telefono registrato che deve essere verificato ad ogni accesso.

Per me questo sembra solo un altro punto di fallimento per un ingegnere sociale di sfruttare. Abbiamo visto un sacco di persone che sono disposte a trasferire account nel proprio nome per acquisire l'autenticazione a due fattori .

Inoltre, ciò che sto descrivendo è ancora l'autenticazione a due fattori? O è qualcosa di completamente diverso?

Le sto chiedendo perché il mio cliente mi sta implorando di implementare questo strano standard di autenticazione.

Qualsiasi link agli studi su questo argomento sarebbe estremamente utile. Grazie.

Per chiarire, ogni volta che accederai a questi passaggi saranno prese.
  1. Inserisci email.
  2. Inserisci password.
  3. Inserire il numero di telefono registrato.
  4. Verifica numero di telefono. Se non puoi, il sistema ti disconnette.
posta Ryuzaki 11.07.2016 - 22:56
fonte

2 risposte

1

Sì, questa è un'autenticazione a due fattori e aggiunge una sicurezza significativa.

To me this seems like just another point of failure for a social engineer to take advantage of.

Questo non aggiunge un altro punto debole. Sta aggiungendo un altro livello di protezione.

We have seen plenty of people who are willing to transfer accounts into their own names to commandeer two factor authentication before.

Non è perfetto al 100%. Niente è. Ma è un grande miglioramento rispetto all'utilizzo di un singolo fattore.

Ci sono rapporti quasi giornalieri di enormi violazioni dei dati con password in chiaro su tutto il pastebin. Gli hacker scrivono script per testare automaticamente queste credenziali contro diversi servizi per sottrarre informazioni preziose. Pensi che passeranno la briga di attaccare il tuo sito, quando dovranno fare una telefonata per trasferire un numero di telefono che potrebbero non avere nemmeno per ogni singolo account che vogliono violare? No.

Sospetto anche che in molti paesi le compagnie telefoniche che trasferiscono semplicemente un numero come questo senza alcuna verifica potrebbero essere ritenute legalmente responsabili. Di nuovo, solo perché un sistema è stato rotto in alcune circostanze non significa che sia completamente inutile.

Also, Is what I am describing two factor authentication still? Or is it something entirely different?

A meno che non manchi qualcosa, questa è semplicemente la vecchia 2FA. La password è qualcosa che sai, il telefono è qualcosa che hai.

To clarify, every time you login these steps will be taken. [...]

Alcuni punti qui:

  • Assicurati che non sia possibile far sì che il sistema indichi a quale numero di telefono è collegato un account utente.
  • Perché devi inserire nuovamente il numero di telefono? Questo dovrebbe già essere memorizzato nel database, giusto? (Sto facendo in modo che ogni account sia collegato a un numero di telefono, altrimenti è un po 'inutile.)
  • Dici che se non riesci a verificare il numero di telefono, il sistema ti disconnette. Direi che non ti dovrebbe essere permesso di accedere fino a quando non avrai verificato il numero di telefono.
risposta data 11.07.2016 - 23:16
fonte
0

Se la verifica del numero di telefono avviene tramite la ricezione di un codice tramite SMS, quindi "Sì", questa è l'autenticazione a due fattori:

  1. Qualcosa che conosci: email e password
  2. Qualcosa che hai: telefono verificato

Questo è generalmente considerato molto più sicuro di entrambi i fattori. In effetti, nel 2016 Verizon Data Breach Investigations Report riporta che "il 63% delle violazioni dei dati confermate comportava password deboli, predefinite o rubate."

References:

risposta data 11.07.2016 - 23:08
fonte

Leggi altre domande sui tag

Qualunque firewall open source supporta la gestione remota? [chiuso] Serve aiuto per capire le vulnerabilità di OWASP [chiuso]