Su pregunta es realmente más sobre definiciones que sobre la seguridad real real del sistema. Así que definamos algunos términos antes de llegar a su pregunta:
Como lo aprendí, hay tres categorías amplias de autenticadores:
-
Conocimiento (algo que ellos saben) - contraseñas y otros secretos
-
Posesión (algo que tienen) - acceso a una cuenta de correo electrónico para recuperar el PIN de un solo uso
-
Herencia (algo que son) - por lo general biométricos como el reconocimiento facial, la huella dactilar o el escaneo del iris
Tomar prestado de la etiqueta wiki para multifactor (que escribí):
Si se le solicita que proporcione una prueba de identidad de más de una de las categorías anteriores, entonces es correctamente " Autentificación de dos factores ", o " Autenticación multifactorial ". Si está proporcionando varios elementos de la misma categoría, entonces se llama " Autenticación de varios pasos ", que obviamente es más débil que el factor múltiple.
Wikipedia parece estar de acuerdo con esta definición.
Genial. Así como para su sitio web,
Me conecto a un sitio web y proporciono un ID de usuario, contraseña y PIN de una sola vez enviado por correo electrónico o SMS.
- Contraseña = Conocimiento
- Correo electrónico / SMS = Posesión.
== > ¡Pasar! Esto es MFA.
Mi pregunta es, ¿el segundo inicio de sesión se considera MFA (contraseña + cookie de registro)?
- Contraseña = Conocimiento
- Cookie = Conocimiento (del texto)? Posesión (del dispositivo)? Incierto.
== > Cuestionable.
Argumentos para "sí": si la cookie se implementa correctamente, entonces cuenta como posesión del dispositivo.
Argumentos a favor de "no": los factores de tipo de posesión deberían ser inmunes a los ataques de grabación y repetición; con cualquier tipo de códigos únicos (tokens de hardware, aplicaciones, correo electrónico, SMS, etc.) el servidor no le permitirá usar el mismo código dos veces. Lo mismo con las tarjetas / memorias USB criptográficas que necesita insertar en su computadora portátil. En este caso, alguien que intercepte su tráfico al sitio web arrebatará tanto su contraseña como su cookie en el mismo paquete y luego podrá iniciar sesión como usted en otro lugar.
Dicho esto, protege su cuenta contra, por ejemplo, el robo de la base de datos de contraseñas o la reutilización de su contraseña de un sitio diferente que aparece en un base de datos de contraseñas filtradas . Cuestionable.
En un aspecto técnico, probablemente sea 2FA / MFA, y ofrece más seguridad que la contraseña o la cookie por sí misma, pero menos que continuar haciendo lo del correo electrónico / SMS.