Usamos Google Authenticator y SMS para la autenticación de dos factores. ¿Deberíamos permitir a los administradores del sitio desactivar TFA para los usuarios?
Google Auth usa SMS como opción de copia de seguridad, pero SMS no tiene una copia de seguridad y cuando el usuario no puede recibir SMS por cualquier motivo, no puede iniciar sesión. Sé que podemos hacer una copia de seguridad de SMS con llamadas de voz, pero estas situaciones podrían surgir.
¿Debemos permitir que los administradores del sitio desactiven TFA para los usuarios?
Esta es una pregunta muy interesante. Sospecho que la respuesta depende en gran medida de la evaluación de riesgos del sitio individual. Veamos algunos pros y contras de permitir que el administrador apague 2FA para un usuario individual.
Pros
Cons
Sin embargo, puede haber un caso de uso legítimo en el que el usuario haya perdido el acceso a su token de autenticación y necesite que se restablezca de alguna manera. Haría que el usuario realice el mismo proceso que necesitaría al restablecer su contraseña. Esto podría implicar enviarle por correo electrónico un enlace para activar o procesar o algo similar. La idea aquí es hacer que sea tan difícil como sea posible para un atacante hacer esto, ya que también necesitará comprometer la cuenta de correo electrónico del usuario.
Lea otras preguntas en las etiquetas passwords authentication one-time-password sms