Mi empresa nos emite tokens RSA:
Los utilizamos cuando iniciamos sesión de forma remota, y se nos presenta un mensaje similar a:
Username:
Password:
Security code:
Todo esto parece bastante estándar; le da el nombre de usuario y la contraseña de su empresa, seguido del código de su token. La primera vez que inicie sesión, se le solicitará que cree un PIN, que luego adjuntará al comienzo del código de token RSA desde ese momento en adelante al iniciar sesión.
¿Por qué se hace esto de esta manera? ¿No es el token RSA el segundo factor en el 2FA? ¿Cuál es la ganancia marginal de hacer esto? Si un atacante me da una contraseña de la empresa, ¿por qué no también el PIN? ¿Qué otra superficie de atacante está siendo protegida?
Observaré que he hecho esto antes con un yubikey; Pero el 2FA es bastante obvio.