L'autenticazione a due fasi utilizza sms / voice dead?

0

Sto cercando di implementare un sistema di autenticazione a due fattori per il mio sito web, utilizzando il cellulare di un utente come "qualcosa che hai" parte di un sistema a due fattori. Sembra che ci siano due approcci tipici per fare questo:

  1. Invia un codice via SMS o messaggio vocale all'utente e chiedi loro di inserire il codice su una pagina web per completare il login.
  2. Utilizza un'app sul telefono per generare un token TOTP e chiedi agli utenti di inserire il token per completare il login.

Vorrei evitare la spesa e la complessità dell'invio di un codice tramite voce o SMS, ma ci sono dei vantaggi in termini di sicurezza o fruibilità che ottengo sostenendo l'opzione n. 1? Ovviamente, un vantaggio è una gamma più ampia di telefoni supportati poiché SMS e voce funzionano con feature phone e smart phone. Tuttavia, con l'aumento dell'adozione di smart phone, tale vantaggio verrà ridotto. Esistono altri vantaggi offerti da SMS / Voice? In caso contrario, l'autenticazione a due fasi utilizza efficacemente SMS / voce morta?

    
posta lreeder 24.02.2014 - 19:23
fonte

1 risposta

1

L'unico vantaggio di cui sono a conoscenza quando fornisco l'autenticazione a due fattori basata su SMS, sebbene sia potenzialmente grande, è che fornisce una difesa migliore contro la perdita di qualsiasi telefono. Ad esempio, con TOTP, se si perde il telefono, è necessario utilizzare i codici di backup per ciascun sito e generare una nuova chiave con il nuovo telefono. Fare questo inevitabilmente richiede di localizzare i tuoi codici di backup, che, se sei una persona normale, probabilmente non ti porti avanti tutto il tempo. Pertanto, il processo di bootstrap può essere fastidioso. Con SMS, riceverai semplicemente un messaggio come al solito e prosegui in modo allegro.

In pratica, molti siti che uso forniscono TOTP come autenticazione primaria a due fattori, ma torneranno agli SMS per coprire esattamente il secondo scenario. Sembra un buon compromesso per il momento.

    
risposta data 24.02.2014 - 19:53
fonte

Leggi altre domande sui tag