¿cuál es un desafío válido para la autenticación de 2 factores?

Navega tus respuestas
4

Al diseñar el proceso de restablecimiento de contraseña:

1- ¿Es una dirección de correo electrónico o un nombre de usuario asignado una información válida (identificador) para solicitar en dos factores de autenticación?

2- ¿Cómo funciona la autenticación de dos factores para restablecer la contraseña en general? ¿No sería una exageración pedirle más información al usuario cuando ya ha olvidado su contraseña?

3- ¿El envío de un código de reinicio a través del dispositivo móvil junto con un identificador único califica como autenticación de dos factores?

    
pregunta Okavango 11.12.2014 - 13:13
fuente

1 respuesta

10

La autenticación de dos factores o de múltiples factores se basa en tres formas posibles de autenticación:

  • Algo que sabes que se considera secreto (contraseña)
  • Algo que tienes (token, token SMS, tarjeta, ...)
  • Algo que eres (biometría)

Si se combinan dos de estos tres, puede hablar de autenticación de dos factores. Decir dos cosas que sabe (como dos contraseñas o nombre de usuario y contraseña) NO ES de autenticación de dos factores.

  1. Puede usarlo como identificador, pero no puede usarlo como secreto (si planea usarlo como "contraseña").
  2. Los restablecimientos de contraseña dependerán del procedimiento implementado. Puede ser el mismo que con una contraseña, solo tienes un enlace de restablecimiento en tu correo electrónico. ¡Esto no significa que el segundo factor esté alterado! Preferiblemente, la contraseña no debe cambiarse en función de otro factor de autenticación (especialmente aplicable en caso de que tenga algo en caso de robo).
  3. Sí, pero debe asegurarse de que el token solo esté limitado durante un período determinado.
respondido por el Lucas Kauffman 11.12.2014 - 13:38
fuente

Lea otras preguntas en las etiquetas

Cambio extraño de dirección durante el desbordamiento del búfer ¿Cómo podría ser vulnerable el honeypot?