Posso avere l'autenticazione tramite notifica push senza un'app di terze parti?

Naviga le tue risposte
1

Stavo leggendo l'ultimo strumento di sicurezza per 2fa e ho appreso che sms non è un modo sicuro per condurre la verifica del dispositivo a causa di problemi di phishing. Sembra che la maggior parte degli articoli / blog abbia sottolineato l'importanza dell'autenticazione delle notifiche push. In sostanza, ricevi una notifica push inviata al tuo telefono ad ogni tentativo di accesso, che ti consente di confermare o rifiutare il tentativo. Tuttavia, tutto dipende dal fatto che sono già installate app di terze parti, come Authy, che hanno API che inviano e ricevono le notifiche.

Tuttavia, richiedendo agli utenti di avere già installata un'app separata, gli omicidi registreranno percentuali di conversione, specialmente all'inizio. Tuttavia, sembra che se dovessi costruire un sistema push endemico alla mia app, avrebbe la stessa funzionalità, tagliando fuori la terza parte, dato che tutto quello che stanno offrendo è una API esistente (che sembra facilmente replicabile). È corretto? O mi mancano alcune funzionalità di sicurezza che hanno solo le app di terze parti esistenti?

(Supponiamo che siamo solo preoccupati di attacchi di phishing / MITM / social engineering che mirano a rubare le credenziali di accesso / password una tantum e non i veri telefoni rubati, nel qual caso la mia proposta avrebbe problemi evidenti, dal momento che la spinta il sistema è collegato all'app su quel dispositivo fisico)

    
posta 07.04.2018 - 00:02
fonte

2 risposte

1

Quando si utilizza SMS, si sta autenticando la simulazione dell'utente come fattore aggiuntivo. Mentre in caso di notifica push, il dispositivo mobile dell'utente funge da provider di identità aggiuntivo.

Puoi sicuramente utilizzare la notifica push dalla tua app per autenticare il dispositivo mobile dell'utente e non mancherà su nessuna funzionalità dal punto di vista della sicurezza. Le app come authy offrono più comodità all'utente in quanto fornisce un secondo fattore in diverse forme e non solo una notifica push. Ad esempio, la notifica push potrebbe non funzionare quando il dispositivo non dispone di una connessione Internet attiva. Le app come authy o google authenticator forniscono anche i token soft basati su timestamp che funzionano anche senza Internet.

Se un maggior numero di persone usa authy puoi tranquillamente presumere che molti dei tuoi utenti lo possiedono per impostazione predefinita e non agisce da barriera aggiuntiva per la maggior parte della tua base di utenti. È un compromesso sulla praticità piuttosto che la sicurezza se affidarsi a authy o a qualsiasi altra terza parte rispetto all'invio di notifiche push tramite la propria app.

    
risposta data 02.08.2018 - 17:51
fonte
1

Puoi certamente implementarlo da solo invece che da una terza parte.

Puoi inviare una notifica push o implementare un OTP (che è meno constrongvole ma in generale più sicuro in quanto non ci saranno errori di battitura, solo inserimento intenzionale del codice OTP, e inoltre, più affidabile in caso di instabilità connessione di rete)

Le app di autenticazione di terze parti come Authy ti stanno solo semplificando e di solito, l'utente utilizzerà altre applicazioni che richiedono 2fa di un ordinamento.

    
risposta data 02.08.2018 - 18:26
fonte

Leggi altre domande sui tag

Perché è una cattiva idea usare semplicemente oauth2 per l'autenticazione? Windows 10 disabilita la maggior parte delle reti