¿Qué hacer si un usuario pierde el acceso a su código de autenticador?

Navega tus respuestas
3

Tengo un servicio web que configuro que permite a los usuarios proteger sus cuentas a través de la autenticación de dos factores a través de una aplicación de autenticación como Google Authenticator y Authy.

Cuando lo habilites, te menciono que escribas el secreto del autenticador en caso de que pierdas el acceso a tu dispositivo.

Aun así, tengo usuarios que me envían un correo electrónico pidiéndome que deshabilite la autenticación de dos factores en sus cuentas porque su teléfono se cortó, eliminó la aplicación, etc. ...

¿Hay otras opciones además de simplemente decirles "lo siento, no puedo"? Perdiste tu cuenta "?

¿Hay algún conjunto de información sobre un usuario que pueda solicitar para que me dé la confianza de que realmente es el propietario de la cuenta (y no solo de que tiene acceso al correo electrónico)?

La única información que recopilo sobre el usuario es su correo electrónico, contraseña y dirección IP.

    
pregunta Paul 28.08.2018 - 20:28
fuente

1 respuesta

4

Puede utilizar una combinación de códigos de retraso y de copia de seguridad. Cuando el usuario active 2FA, muéstrele un par de Códigos de respaldo (como lo hace Google) y pídales que lo guarden en algún lugar, y pregunte uno de los códigos en la siguiente pantalla. Esto te ahorrará algunos problemas más adelante.

De vez en cuando, pregunte al usuario uno de los códigos de copia de seguridad cuando inicie sesión, incluso si envía el token 2FA. Si no sabe / no tiene los códigos de respaldo, genere nuevos códigos, envíelo al usuario, pídale que guarde los códigos y solicite otro al azar en la siguiente pantalla. Se informará al usuario de que los códigos de respaldo son especiales.

Si el usuario pierde los códigos 2FA y de copia de seguridad, cree un proceso muy largo para recuperar los códigos. Muéstrale los pasos necesarios, cuánto tiempo tomarán y dónde está:

  1. El usuario solicita un restablecimiento de 2FA, le envía un enlace y le dice que el enlace estará disponible de 24 a 48 horas DESPUÉS de que haga clic en el enlace

  2. El usuario recibe un enlace que le dice a alguien con este IP / OS / navegador que le pide que reinicie el 2FA, y si era él, tiene que esperar hasta el día siguiente y hacer clic en el enlace.

  3. Al día siguiente, el usuario hace clic en el enlace y recibe otro correo con un enlace y un token de restablecimiento que se debe ingresar en el sitio de 24 a 48 horas más tarde. Agregue el mismo mensaje que alguien, tal vez él, con este IP / OS / navegador intentó restablecer su 2FA.
  4. Al día siguiente, el usuario hace clic en el enlace, carga una página, ingresa a su sitio e ingresa el token. Dígale que tendrá que iniciar sesión de 24 a 48 horas nuevamente y 2FA se desactivará.
  5. El usuario vuelve a iniciar sesión después de 4 días, luego de recibir al menos 3 correos electrónicos que le dicen que alguien está intentando restablecer su 2FA.

Creo que 4 días es lo suficientemente largo para que un pirata informático pierda interés en la cuenta y un buen período de tiempo para que cualquier usuario detecte y detenga cualquier secuestro de cuenta. Si 4 días no es suficiente, puede aumentar el tiempo entre cada correo electrónico. Y cualquier usuario realmente interesado en recuperar su cuenta seguirá las instrucciones.

    
respondido por el ThoriumBR 28.08.2018 - 21:34
fuente

Lea otras preguntas en las etiquetas

¿Debo cifrar datos confidenciales de formularios con JavaScript en el cliente? Inyectar un paquete TCP en una conexión existente