Domande con tag 'multi-factor'

domande con tag
1
risposta

Memorizzare il segreto TOTP nel database, in chiaro o crittografato?

Ho letto di 2FA e di come è usato, e la cosa che mi ha colpito di più è che tutti sembrano memorizzare il segreto del TOTP come testo in chiaro nel loro database. Capisco che tu abbia bisogno del segreto come testo in chiaro per verificare l'...
posta 08.03.2018 - 18:45
3
risposte

Come fermare un attacco di verifica mobile

Sto pensando di utilizzare la verifica del numero di cellulare per il passaggio di registrazione nella mia applicazione web, ma come faccio a impedire a un hacker oa un utente malintenzionato di inviare richieste di verifica mobile a un numero i...
posta 23.07.2016 - 04:18
2
risposte

OATH TOTP e / o Google Authenticator sono vulnerabili se un utente malintenzionato ha (N) codici precedenti?

Non sono un grande iniziatore di ipsec, quindi è un po 'strano ... ma sono sempre disposto a saperne di più. Esistono attacchi noti contro OATH TOTP (algoritmo di Google Authenticator / Authy) se un utente malintenzionato ha un numero (non sp...
posta 19.09.2013 - 18:55
2
risposte

C'è qualche punto nell'uso dell'autenticazione in due passaggi se hai password complesse?

Se hai l'abitudine di usare password complesse (generate casualmente dal gestore di password) c'è qualche punto nell'uso dell'autenticazione in due fasi? Supponendo che il 99% delle volte che quando inserisci una password lo fai sul tuo dispo...
posta 10.03.2015 - 16:05
6
risposte

Non è meno sicuro usare qualcosa che sei per l'autenticazione?

Devo pensare a questo ogni giorno quando chiudo le porte del negozio in cui lavoro: Un anno fa eravamo soliti chiudere il negozio e armare l'allarme usando un portachiavi. Ciò significa che lo scenario peggiore è che io vengo derubato. Alc...
posta 15.12.2013 - 15:38
3
risposte

In che modo l'inserimento di un numero di telefono "a" aiuta Google "verifica che sia io?"

Oggi ho provato ad accedere al mio account Google mentre ero all'università. Google ha bloccato il tentativo e ha chiesto un numero di telefono. Di seguito è riportato uno screenshot del modulo che Google mi ha mostrato. Dice:Verifyit'syouTh...
posta 30.04.2018 - 17:44
2
risposte

La passphrase e la chiave SSH si qualificano come autenticazione a due fattori per PCI?

Sto lavorando per ottenere i server della nostra azienda PCI SAQ-C conformi (i dati della carta di credito passano attraverso il nostro sistema ma non sono memorizzati dal nostro sistema). Abbiamo accesso SSH per amministrare i server e tutti gl...
posta 05.12.2012 - 03:17
1
risposta

Generazione di codici di backup per un'implementazione 2FA

Ho implementato l'aspetto di accesso / verifica di un sistema di autenticazione a due fattori come per RFC 6238 . Funziona bene con Google Authenticator, che è fantastico. Ora sto rivolgendo la mia attenzione ai codici di backup, forniti...
posta 07.07.2014 - 15:45
1
risposta

I metodi Push 2FA sono sicuri da malware Android e iOS?

Sto facendo un sondaggio su varie soluzioni 2FA e recentemente mi sono imbattuto in "Push" 2FA (ad esempio, Duo Security). In questa soluzione, il sito (ad esempio un sito bancario) invia una notifica al cellulare dell'utente e l'utente tocca "S...
posta 27.01.2016 - 05:32
2
risposte

IMAP / POP3 / ASP minano l'autenticazione a due fattori?

Quando accedo a hotmail o Google o posteo posso accedere solo utilizzando il 2FA che ho impostato. Tuttavia, ciascun provider sembra avere un'alternativa per le app che non sono autorizzate tramite un client Web. Hotmail / Google: 16 caratte...
posta 18.11.2017 - 20:45