Sì, questa è un'autenticazione a due fattori e aggiunge una sicurezza significativa.
To me this seems like just another point of failure for a social engineer to take advantage of.
Questo non aggiunge un altro punto debole. Sta aggiungendo un altro livello di protezione.
We have seen plenty of people who are willing to transfer accounts into their own names to commandeer two factor authentication before.
Non è perfetto al 100%. Niente è. Ma è un grande miglioramento rispetto all'utilizzo di un singolo fattore.
Ci sono rapporti quasi giornalieri di enormi violazioni dei dati con password in chiaro su tutto il pastebin. Gli hacker scrivono script per testare automaticamente queste credenziali contro diversi servizi per sottrarre informazioni preziose. Pensi che passeranno la briga di attaccare il tuo sito, quando dovranno fare una telefonata per trasferire un numero di telefono che potrebbero non avere nemmeno per ogni singolo account che vogliono violare? No.
Sospetto anche che in molti paesi le compagnie telefoniche che trasferiscono semplicemente un numero come questo senza alcuna verifica potrebbero essere ritenute legalmente responsabili. Di nuovo, solo perché un sistema è stato rotto in alcune circostanze non significa che sia completamente inutile.
Also, Is what I am describing two factor authentication still? Or is it something entirely different?
A meno che non manchi qualcosa, questa è semplicemente la vecchia 2FA. La password è qualcosa che sai, il telefono è qualcosa che hai.
To clarify, every time you login these steps will be taken. [...]
Alcuni punti qui:
- Assicurati che non sia possibile far sì che il sistema indichi a quale numero di telefono è collegato un account utente.
- Perché devi inserire nuovamente il numero di telefono? Questo dovrebbe già essere memorizzato nel database, giusto? (Sto facendo in modo che ogni account sia collegato a un numero di telefono, altrimenti è un po 'inutile.)
- Dici che se non riesci a verificare il numero di telefono, il sistema ti disconnette. Direi che non ti dovrebbe essere permesso di accedere fino a quando non avrai verificato il numero di telefono.