¿El servidor / aplicación de correo electrónico debe estar protegido por una autenticación de 2 factores? ¿Qué aplicaciones deben protegerse?

Navega tus respuestas
2

¿Cuándo se debe proteger el correo electrónico con autenticación de 2 factores?

Supongamos que una empresa determinada pertenece a una industria en la que se ofrece autenticación de dos factores a algunos o todos sus clientes. ¿Esto significa que también debería ofrecer (o requerir) la autenticación de dos factores para sus empleados?

Si la implementación de la autenticación de dos factores no se dirige a todas las aplicaciones de una empresa, ¿qué criterios se deben usar al evaluar una aplicación?

    
pregunta random65537 10.02.2012 - 14:26
fuente

1 respuesta

2

No creo que haya una respuesta simple para esto: sus demandas de seguridad pueden variar. Si le temen a los keyloggers que roban sus contraseñas, dando a los adversarios acceso a correos electrónicos confidenciales, entonces, por supuesto, use la autorización de 2 factores (entre otras técnicas). Sin embargo, si solo anticipa recibir correos electrónicos relativamente mundanos, entonces no es necesario, y habilitarlo podría ser una carga adicional, por ejemplo, si pierde su teléfono celular de vacaciones, no puede iniciar sesión en ninguno de sus sistemas.

Además, el uso de autenticación de 2 factores puede fomentar malos hábitos; por ejemplo, puedes pensar que mi teléfono siempre está conmigo; así que puedo usar una contraseña simple y fácil de adivinar. Luego, en los sistemas que se han autenticado una vez, puede ser sencillo que alguien adivine su contraseña.

En resumen; La autenticación de 2 factores proporciona seguridad adicional cuando:

  • los usuarios se autentican con frecuencia desde una variedad de equipos cliente que no son de confianza y pueden estar ejecutando keyloggers
  • a los usuarios no les importa la carga de la necesidad de poder recibir mensajes de texto o llamadas telefónicas para autenticarse
  • los usuarios no siempre almacenan en caché la primera autenticación (solo caché en computadoras confiables; y aún requieren que el usuario ingrese la contraseña)
  • los usuarios aún deben tener contraseñas seguras en la segunda autenticación
  • la autenticación web aún usa https (o equivalente; por ejemplo, inicio de sesión en ssh) (evitar los ataques MITM con servidores falsificados; mantener su contraseña en secreto en caso de que se encuentre un token válido más adelante).

Además, el correo electrónico en sí mismo no es un buen método para enviar datos confidenciales: el correo electrónico tal como se enruta se envía en texto sin formato para que lo lea cualquier servidor de correo / enrutador / agente de correo intermedio. Realmente debe cifrar / firmar correos electrónicos confidenciales con PGP (o similar) para proteger el contenido de los correos electrónicos para que no sean leídos o alterados en secreto.

    
respondido por el dr jimbob 10.02.2012 - 17:34
fuente

Lea otras preguntas en las etiquetas

¿La denominación fuerte elimina la necesidad de empacado / ofuscación? Eliminando la cadena de cookies de Google Analytics de la URL - ¿agujero de seguridad?