OTP en el mismo dispositivo que se usa para iniciar sesión

Navega tus respuestas
3

He visto que las aplicaciones móviles utilizan la autenticación de dos factores al enviar un SMS al teléfono móvil. Sin embargo, si le robé el teléfono a alguien, ¿dónde está la ventaja de seguridad? Puedo entenderlo si se usa junto con otro medio (por ejemplo, un sitio web en una computadora de escritorio) pero si al teléfono mismo se le envía una OTP, ¿cuál es la ventaja de seguridad que se ofrece?

En particular, estoy viendo Authy y me pregunto qué valor aporta a una aplicación móvil.

Gracias

    
pregunta Secoority 27.10.2015 - 17:08
fuente

1 respuesta

1

Usted tiene razón, esto no es efectivo en el caso de robo del dispositivo: necesita una buena autenticación local para eso, como un pin largo, contraseña, frase de contraseña y, posiblemente, datos biométricos.

Sin embargo, estas soluciones OTP no intentan abordar esa amenaza. Su objetivo es evitar que alguien intente acceder a un servicio adivinando nombres de usuario y contraseñas, o utilizando nombres de usuario y contraseñas robadas de otros sitios (por ejemplo, a través de registradores de teclas, volcados de bases de datos, etc.).

Por ejemplo:

  1. El sitio web XYZ está pirateado y los nombres de usuario y contraseñas se descifran y publican en línea
  2. Obtengo la lista y pruebo cada una de las credenciales contra el sitio web de ABC
  3. A menudo, los usuarios usarán los mismos nombres de usuario y contraseñas y obtendré acceso a algunas cuentas
  4. Sin embargo, si mi cuenta en el sitio web de ABC está vinculada a un número de teléfono móvil y utiliza un SMS para autenticarse, sabiendo que mi nombre de usuario y contraseña no le permitirán comprometer mi cuenta de ABC a menos que también pueda interceptar el SMS.
respondido por el Andy Boura 27.10.2015 - 18:30
fuente

Lea otras preguntas en las etiquetas

Netgear WNDR4300 se bloquea cuando se escanea el puerto ¿Es una mala idea proporcionar un ID de OAuth "de prueba" y un secreto?