¿Por qué el segundo paso en la autenticación de dos pasos no es un solo clic? [cerrado]

Navega tus respuestas
2

El caso

Estoy usando la verificación de 2 pasos de Google.

La pregunta

¿Por qué Google utiliza un código como segundo paso? ¿Por qué no solo una aplicación de Android donde puedes hacer clic en "Soy yo"?

    
pregunta Michael 20.10.2015 - 15:41
fuente

1 respuesta

3

Si dos o más personas intentan acceder a la misma cuenta al mismo tiempo y solo uno de esos usuarios es legítimo, la aplicación no podrá saber qué intento de inicio de sesión debe verificar, sin que el usuario se identifique. su intento particular de alguna manera.

Como tal, tiene sentido para el usuario aplicar un código directamente a su sesión. También es notable que los códigos se generan fuera de línea, en base a un tiempo secreto y de dispositivo. El uso de un botón "Soy yo" requeriría un servidor intermediario a través del cual la aplicación web y la aplicación móvil confirmen la solicitud de autenticación. Esto agrega gastos a la aplicación e introduce dependencias, un punto de falla y un punto potencial de vulnerabilidad.

  

@Scott si alguien puede falsificar una notificación de "soy yo", eso significa que ha robado el secreto original. Él podría ser el código de su MFA

Imagina que estás iniciando sesión en tu cuenta de Google, y un hacker también está intentando iniciar sesión en tu cuenta de Google. Ambos están en la etapa de maestría. Sólo tú tienes el dispositivo MFA.

Presionas el botón "Soy yo" para autenticar ... ¿Cuál de las 2 sesiones pendientes se autentica? La idea "Soy yo" solo funciona si selecciona la sesión correcta. En cuyo caso un código es más sencillo y seguro.

  

En cualquier caso, la notificación "ese soy yo" puede ser una respuesta a un desafío enviado por el servidor de autenticación en su sesión. En cuyo caso se le notificará si un atacante intentó iniciar sesión. ¿Alguna idea de por qué no funcionaría?

Puedo ver a qué te refieres con el dispositivo que está siendo notificado del intento y luego lo confirmas con la aplicación. No es un diseño inviable. Supongo que, en última instancia, se trata de ventajas y desventajas:

Su método sugerido:

  • Se requieren servidores intermedios. Para enviar notificaciones, autenticar dispositivos y sesión
  • Los servidores requieren mantenimiento, cuestan dinero para ejecutarse, pueden ser pirateados, pueden fallar o ser inalcanzables.
  • La aplicación web requiere hablar con el servidor de verificación MFA.
  • Solo funciona en línea.
  • Posiblemente más agujeros de seguridad y complejidad.

El método de código actual:

  • Gratis
  • Funciona sin conexión
  • No se requieren servidores
  • Estándar abierto
respondido por el Scott 20.10.2015 - 16:45
fuente

Lea otras preguntas en las etiquetas

¿Cuál es el punto de enviar un correo electrónico informando una posible interrupción en la misma cuenta? Entrada de mouse aleatoria contra entrada de teclado aleatoria vs CryptoAPI