Cómo implementar 2FA sin el teléfono del usuario

Navega tus respuestas
2

Tengo un problema: los usuarios comparten sus credenciales con otros usuarios. Tengo que crear una manera de garantizar que los usuarios estén usando sus propias credenciales para acceder al sistema. Creo que estoy creando una autenticación de 2 factores, pero no puedo usar el teléfono del usuario. ¿Alguien sabe una forma de hacerlo a través de software y no de hardware (como un dispositivo biométrico)?

Hay un detalle que descarta las soluciones para educar a los usuarios. Algunos usuarios han informado que sus credenciales han sido robadas y utilizadas por antiguos funcionarios, y desafortunadamente tuvimos un caso real con esta situación.

    
pregunta carlos 30.01.2018 - 03:23
fuente

2 respuestas

8

Los inicios de sesión de 2 factores constan de 2 de tres cosas: algo que tienes, eres o sabes. Las contraseñas son algo conocido, por lo que tendrías que implementar algo que eres o tienes. Biometría, es decir, "medición de personas"; los escáneres de iris, los escáneres de huellas dactilares, las huellas de voz, los escáneres manuales y el reconocimiento facial son ejemplos de datos biométricos que requieren equipo especializado o puede ser fácilmente engañado por alguien con acceso a una tienda de dólar . Por lo tanto, a menos que cuente con un humano que los supervise, se eliminarán los datos biométricos.

Eso deja algo que tienes.

Una forma simple y molesta de hacer esto es restringir los inicios de sesión de los usuarios a su computadora. Claro, sabes la contraseña de Bob, pero no tienes su computadora. Así que el inicio de sesión falla. Esa es la forma más barata de hacerlo. De lo contrario puedes emitir tokens de hardware. Luego ingresaría su contraseña y el código del token de hardware o tendría el token insertado en el puerto USB.

El desafío de hacer esto a través del software es que sea algo que tienes o eres. El software por definición generalmente no es ninguno de ellos.

PS, ya lo sabes, pero tienes un gran problema con las personas que comparten contraseñas. En realidad, no tiene un registro de auditoría ni una forma de responsabilizar específicamente a alguien por lo que se hizo con su inicio de sesión. Supongo que ya sabías que ...

    
respondido por el baldPrussian 30.01.2018 - 03:47
fuente
3

Estoy convirtiendo mis comentarios anteriores en una respuesta adecuada

La solución para detener el intercambio de cuentas dentro de su empresa es

Educar al usuario & Hacer el registro conveniente

Ningún truco en el mundo evitará que los usuarios compartan la cuenta si no están informados al respecto. No importa qué tan fuerte esté acoplado el 2FA a la persona. Requerir una muestra de ADN al iniciar sesión solo le pide a la gente que mantenga un frasco de saliva además de su escritorio.

Eduque a sus usuarios y explíqueles por qué la pérdida de la pista de auditoría es mala para ellos (y para sus compañeros de trabajo).

Si su registro es engorroso, entonces hágalo más fácil. Por ejemplo, en lugar de que le envíen a usted (el administrador) un correo electrónico, tal vez haga un formulario web simple donde puedan registrarse con su ID de empleado.
Reducir los límites de entrada siempre es bueno cuando se trata de dejar de compartir la cuenta.

Esta respuesta se ha vuelto obsoleta luego de que se editó la pregunta

    
respondido por el BlueWizard 30.01.2018 - 11:17
fuente

Lea otras preguntas en las etiquetas

Se puede validar el certificado localmente [duplicado] ¿Es perfectamente anónimo conectarse a Internet a través de una conexión móvil usando una tarjeta SIM no registrada?