¿Vale la pena un PIN enviado por correo electrónico para 2FA?

Por lo general, se denomina autenticación paso y, en los círculos de seguridad, no se considera 2FA. El motivo es que los tres factores de la autenticación son "algo que el usuario sabe", "algo que el usuario tiene", y "algo que el usuario es". El correo electrónico no puede considerarse "algo que el usuario tiene" porque para iniciar sesión en la dirección de correo electrónico, normalmente todo lo que el usuario necesita saber es otro conjunto de nombre de usuario y contraseña (a menos que su empresa ya haya recibido 2FA en el correo electrónico) .

Muchos sistemas, esp. Las instituciones financieras y ahora Google, FB, Twitter, cuenta de Microsoft, etc., utilizarán un número de teléfono porque el usuario debe demostrar que está en posesión del teléfono.

2FA a menudo será una experiencia de inicio de sesión peor que un factor único, pero se reduce a lo que está en juego. Si su información de alto impacto en el negocio (como los datos confidenciales, la capacidad para realizar transacciones financieras, la PII del cliente), normalmente se favorecerá a 2FA sobre la experiencia del usuario.

Habiendo dicho eso, la seguridad es tan buena como su eslabón más débil. Entonces, incluso después de aplicar 2FA (o verificación en dos pasos) para los usuarios, si los datos subyacentes eran accesibles de alguna otra manera sin esa seguridad adicional, entonces es realmente una molestia para los usuarios (y sí, he visto ejemplos de personas que intentan haz eso!)

Sin embargo, lo que estás describiendo es la autenticación de 2 factores, si la autenticación de 2 factores más segura es una pregunta para un experto en seguridad.

Wikipedia ofrece un gran ejemplo de lo que es 2FA y creo que el paso que mencionaste se clasificaría como dos 2FA.

  

un cajero automático (ATM) generalmente requiere verificación de dos factores. Para probar que los usuarios son quienes dicen ser, el sistema requiere dos elementos: una tarjeta inteligente de cajero automático (aplicación del factor de posesión) y el número de identificación personal (PIN) (aplicación del factor de conocimiento). En el caso de una tarjeta de cajero automático perdida, las cuentas de los usuarios siguen siendo seguras; cualquiera que encuentre la tarjeta no puede retirar dinero porque no conoce el PIN. Lo mismo ocurre si el atacante solo conoce el PIN y no tiene la tarjeta.    De Wikipedia

De hecho, lo que está proponiendo es muy similar a la forma en que Steam autentica a los usuarios en las nuevas máquinas.

1. Inicia sesión con tu nombre de usuario y contraseña
2. Se envía un correo electrónico de verificación a una dirección de correo electrónico ya verificada para confirmar que desea permitir el acceso a su cuenta desde esa máquina.

Sin acceso al factor de conocimiento (su nombre de usuario y contraseña) y al factor de posesión (acceso a la dirección de correo electrónico) no puede iniciar sesión en una nueva máquina.

2FA no es para todos, así que, de forma predeterminada, creo que esto debería estar desactivado y debería alentar al usuario a activar la función por sí mismos.

Es posible que algunos usuarios no deseen la fricción adicional que viene con 2FA y algunos usuarios simplemente no valoran la seguridad de su cuenta por encima de la facilidad de inicio de sesión.

Editar: Para responder a tu pregunta ... No es una mala experiencia SI no están obligados a 2FA y depende completamente de su valor para la seguridad sobre la facilidad de inicio de sesión.

Sigue tus instintos, Jake ... esto definitivamente no es 2FA.

Lo que has descrito es en realidad una verificación en dos pasos, ya que la OTP por correo electrónico (o SMS) no se considera "algo que tienes" y, por lo tanto, no es un segundo factor.

Aquí hay un diagrama de flujo para ayudarte.

Fuente: enlace