¿Autenticación de 3 factores con el token RSA?

2

Mi empresa nos emite tokens RSA:

Los utilizamos cuando iniciamos sesión de forma remota, y se nos presenta un mensaje similar a:

Username: 

Password:

Security code:

Todo esto parece bastante estándar; le da el nombre de usuario y la contraseña de su empresa, seguido del código de su token. La primera vez que inicie sesión, se le solicitará que cree un PIN, que luego adjuntará al comienzo del código de token RSA desde ese momento en adelante al iniciar sesión.

¿Por qué se hace esto de esta manera? ¿No es el token RSA el segundo factor en el 2FA? ¿Cuál es la ganancia marginal de hacer esto? Si un atacante me da una contraseña de la empresa, ¿por qué no también el PIN? ¿Qué otra superficie de atacante está siendo protegida?

Observaré que he hecho esto antes con un yubikey; Pero el 2FA es bastante obvio.

    
pregunta agentroadkill 14.03.2017 - 21:26
fuente

1 respuesta

3

El escenario que ha proporcionado es todavía 2FA y no 3 (como indica su pregunta). Esto todavía solo usa algo que sabes y algo que tienes que autenticar. Ahora, pase a por qué se necesitaría un pin y una contraseña. Usted tiene razón, ya que preguntar no aumenta la "cantidad de factores". He visto que algunas compañías no usan la contraseña y solo solicito el nombre de usuario y el código PIN + RSA. Pero, si el PIN y la contraseña se almacenaran en dos almacenes de datos diferentes (2 DB diferentes, regiones, etc.), el compromiso de uno no sería suficiente para descifrar uno de los dos factores necesarios para la autenticación.

    
respondido por el katrix 14.03.2017 - 21:51
fuente

Lea otras preguntas en las etiquetas