¿Cuál es el propósito de tener 10 códigos de recuperación MFA?

2

Cuando habilita MFA para muchos servicios populares, le brindan un 10% de recovery codes que le permitirá deshabilitar o actualizar temporalmente su configuración de MFA con su servicio en caso de que pierda, le roben o simplemente deje de funcionar.

¿Pero por qué generan 10 códigos? Para mí, es contraintuitivo que se genere más de un recovery code .

¿No se debilita la seguridad por el hecho de que hay 10 códigos, no uno? Si solo hay un código, el atacante debe "adivinar" ese código en particular de todas las posibilidades. Pero si hay 10 códigos, un atacante solo necesita adivinar 1 de los 10 de todas las posibilidades que entiendo como un aumento de diez veces en la probabilidad de un ataque exitoso.

¿Alguien puede arrojar algo de luz sobre el razonamiento detrás de esto?

    
pregunta AJB 11.01.2017 - 03:54
fuente

1 respuesta

2

Los códigos normalmente se usan una sola vez, por lo que proporcionar más de uno es muy conveniente para el usuario final. Por ejemplo, tal vez el usuario necesite iniciar sesión pero no tenga la oportunidad de cambiar su configuración de seguridad hasta un momento posterior. O tal vez hubo un error en el inicio de sesión y ahora están completamente bloqueados si no tuvieran códigos adicionales.

Muchos de los servicios también le envían correos electrónicos cuando se usan las claves de respaldo, por lo que se le notifica instantáneamente.

Supongo que muchos de los servicios también toman precauciones para frustrar los intentos de fuerza bruta, ya sea por limitación de la tasa, bloqueos, listas negras o notificaciones al propietario de la cuenta.

Recuerdo haber leído sobre cómo se generan y guardan las claves de recuperación, pero ahora no puedo encontrar la fuente. De lo que recuerdo, hay como 1000, o quizás mucho más que eso, claves de recuperación pre generadas. Proporcionan 10 para que los use que estén activos, y cuando se usa uno, ya no es utilizable y ahora hay menos claves de recuperación disponibles en total (999).

    
respondido por el Gerk 11.01.2017 - 05:16
fuente

Lea otras preguntas en las etiquetas