¿La OTP de correo electrónico está mejorando la seguridad para la autenticación de 2 fases?

2

Ha habido preguntas similares antes en las que la gente dice que usar otros medios (SMS, dispositivos de hardware, etc.) es una forma más segura de proporcionar autenticación de 2 factores. Siempre que no tengamos la opción de hacerlo de esta manera, ¿una OTP de correo electrónico simple mejorará la seguridad en comparación con solo el nombre de usuario / contraseña? ¿Es posible que, por otra parte, pueda debilitarlo?

El flujo es así:

  1. El usuario ingresa un nombre de usuario / contraseña, y hace clic en iniciar sesión
  2. El usuario recibe un correo electrónico con una OTP que coloca en el campo que es visible después de completar el punto 1
  3. Si el usuario hace el punto número 2 dentro de 5 minutos después de completar el punto número 1, inicia sesión (en otras palabras, la caducidad de la OTP es de 5 minutos).

OTP es una simple cadena de 6 mayúsculas, así: ARKOGD

    
pregunta Ilya Chernomordik 04.02.2016 - 12:33
fuente

2 respuestas

5

Este es esencialmente el esquema que utiliza Steam si inicias sesión desde un dispositivo "desconocido".

Aumenta un poco la seguridad, ya que un atacante tendría que comprometer la combinación de nombre de usuario / contraseña para la aplicación y la cuenta de correo electrónico del usuario. Esto hace que los ataques no dirigidos sean inútiles.

Esto podría argumentarse como algo malo: si el sistema no incorpora también las protecciones estándar contra ataques de fuerza bruta, sería relativamente fácil probar listas de nombres de usuarios potenciales y contraseñas comunes, buscando la segunda pantalla de inicio de sesión. , luego apuntar específicamente a esos usuarios. Los usuarios pueden asumir que, dado que no han intentado iniciar sesión, el correo electrónico debe ser un error y, por lo tanto, no darse cuenta de que pueden estar siendo atacados.

Tampoco funciona bien en algunas circunstancias, como en una aplicación móvil. En la actualidad, muchas personas reciben correos electrónicos en sus teléfonos, por lo que un atacante que tuvo acceso al dispositivo móvil podría iniciar sesión sin mayores esfuerzos. Sin embargo, esto no es diferente de un token de SMS.

También hay un ligero impacto en la usabilidad, especialmente para usuarios que pueden no ser muy hábiles en la navegación web. En algunos casos, el cambio entre un formulario de inicio de sesión y un cliente de correo electrónico (incluso si se encuentra en otra pestaña) puede causar problemas, lo que resulta en frustración con el sitio. Probablemente esta sea la razón por la que Steam solo utiliza este método para "nuevos" dispositivos (o al menos, aquellos donde las cookies están deshabilitadas, lo que a su vez sugiere un nivel razonable de conciencia de seguridad).

    
respondido por el Matthew 04.02.2016 - 12:51
fuente
2

Bueno, es de dos factores, así que agrega algo de seguridad. No es gran factor dos, por un par de razones. Es muy probable que el usuario lea el correo electrónico en la misma máquina con la que inicia sesión en su servicio, pero eso también es un problema con los SMS la mayor parte del tiempo. Y, por supuesto, el correo electrónico es un canal muy inseguro.

Pero en general, por lo general, será mejor que nada, desde un punto de vista de seguridad puro.

(Sin embargo, puede que no valga la pena que la experiencia del usuario se degrade. Por ejemplo, el correo electrónico suele ser un poco más lento que el SMS, por lo que el usuario tendrá que esperar. También tiene que lidiar con los filtros de spam. aplicación específica.)

    
respondido por el Graham Hill 04.02.2016 - 12:52
fuente

Lea otras preguntas en las etiquetas