Este sitio web afirma que la contraseña + cookie cuenta como 2FA

Navega tus respuestas
2

Me conecto a un sitio web y proporciono un ID de usuario, contraseña y PIN de una sola vez entregados por correo electrónico o SMS. También selecciono la casilla de verificación "Registrar dispositivo" para registrar mi escritorio.

En un inicio de sesión posterior, solo tengo que proporcionar mi ID de usuario y contraseña. Presumiblemente, una cookie creada durante el registro del dispositivo también se envía al sitio.

Mi pregunta es, ¿se considera el segundo inicio de sesión como MFA (Contraseña + cookie de registro), o la cookie suspende a MFA durante algún tiempo y el segundo y los inicios de sesión subsiguientes NO son MFA? ¿Depende del contenido de la cookie o de la implementación del lado del servidor?

El sitio web sostiene que el segundo inicio de sesión es MFA, ya que la cookie de registro del dispositivo constituye un factor de autenticación, pero no me parece correcto.

    
pregunta ALoginName 20.09.2017 - 03:47
fuente

1 respuesta

1

Su pregunta es realmente más sobre definiciones que sobre la seguridad real real del sistema. Así que definamos algunos términos antes de llegar a su pregunta:

Como lo aprendí, hay tres categorías amplias de autenticadores:

  • Conocimiento (algo que ellos saben) - contraseñas y otros secretos
  • Posesión (algo que tienen) - acceso a una cuenta de correo electrónico para recuperar el PIN de un solo uso
  • Herencia (algo que son) - por lo general biométricos como el reconocimiento facial, la huella dactilar o el escaneo del iris

Tomar prestado de la etiqueta wiki para multifactor (que escribí):

  

Si se le solicita que proporcione una prueba de identidad de más de una de las categorías anteriores, entonces es correctamente " Autentificación de dos factores ", o " Autenticación multifactorial ". Si está proporcionando varios elementos de la misma categoría, entonces se llama " Autenticación de varios pasos ", que obviamente es más débil que el factor múltiple.

Wikipedia parece estar de acuerdo con esta definición.

Genial. Así como para su sitio web,

  

Me conecto a un sitio web y proporciono un ID de usuario, contraseña y PIN de una sola vez enviado por correo electrónico o SMS.

  • Contraseña = Conocimiento
  • Correo electrónico / SMS = Posesión.

== > ¡Pasar! Esto es MFA.

  

Mi pregunta es, ¿el segundo inicio de sesión se considera MFA (contraseña + cookie de registro)?

  • Contraseña = Conocimiento
  • Cookie = Conocimiento (del texto)? Posesión (del dispositivo)? Incierto.

== > Cuestionable.

Argumentos para "sí": si la cookie se implementa correctamente, entonces cuenta como posesión del dispositivo.

Argumentos a favor de "no": los factores de tipo de posesión deberían ser inmunes a los ataques de grabación y repetición; con cualquier tipo de códigos únicos (tokens de hardware, aplicaciones, correo electrónico, SMS, etc.) el servidor no le permitirá usar el mismo código dos veces. Lo mismo con las tarjetas / memorias USB criptográficas que necesita insertar en su computadora portátil. En este caso, alguien que intercepte su tráfico al sitio web arrebatará tanto su contraseña como su cookie en el mismo paquete y luego podrá iniciar sesión como usted en otro lugar.

Dicho esto, protege su cuenta contra, por ejemplo, el robo de la base de datos de contraseñas o la reutilización de su contraseña de un sitio diferente que aparece en un base de datos de contraseñas filtradas . Cuestionable.

En un aspecto técnico, probablemente sea 2FA / MFA, y ofrece más seguridad que la contraseña o la cookie por sí misma, pero menos que continuar haciendo lo del correo electrónico / SMS.

    
respondido por el Mike Ounsworth 20.09.2017 - 04:56
fuente

Lea otras preguntas en las etiquetas

flujo de trabajo de protección JWT y CSRF ¿Comprobar un token sin verificar un encabezado es suficiente para la protección CSRF?