Al tener el modo sudo en una aplicación web, ¿por qué usar una contraseña en lugar de contraseñas de un solo uso?

3

Los servicios en línea, como GitHub, tienen modo Sudo . El modo Sudo significa que un usuario que realiza acciones delicadas solo tiene que autenticarse cada par de minutos, pero nuevamente, aunque ya están conectados.

GitHub utiliza por este motivo la contraseña del usuario. Me pregunto si este es el mejor enfoque. ¿Por qué debo usar la contraseña y no la contraseña de un solo uso proporcionada por un autenticador como Google Authenticator? ¿No sería eso más seguro? Especialmente, la mayoría de los navegadores guardan la contraseña y la proporcionan en el campo de la contraseña, mientras que la única contraseña no se puede proporcionar según el diseño.

    
pregunta tjati 15.01.2018 - 14:21
fuente

1 respuesta

2

Un segundo factor no es inherentemente más seguro que una contraseña. En muchos casos (como un token RSA SecurID) el segundo factor es vulnerable al robo físico, mientras que una contraseña memorizada no lo es.

Sería más seguro solicitar ambos factores de autenticación. Me imagino que github ha optado por no hacer esto por conveniencia; después de todo, esto es volver a autenticar a un usuario que ya se ha autenticado exitosamente con ambos factores. Podría argumentar que la sesión activa ya es una forma secundaria de autenticación.

    
respondido por el Hector 15.01.2018 - 16:06
fuente

Lea otras preguntas en las etiquetas