¿Se considera el número de National Insurance como algo que tiene para la autenticación de 2 factores, ya que es único para cada individuo?
¿Se considera el número de National Insurance como algo que tiene para la autenticación de 2 factores, ya que es único para cada individuo?
No, algo como el número de Seguro Nacional es "algo que sabes".
Podría considerarse como un factor de autenticación, sin embargo no es muy bueno porque a menudo es divulgado por un individuo.
"Algo que tienes" debería ser algo que no pueda copiarse fácilmente. Idealmente, un token de hardware, sin embargo, recientemente los teléfonos móviles con autenticación a través de SMS y los teléfonos inteligentes con OTP con claves de inicio sincronizadas han sido considerados como "algo que tienes", a pesar de que el SMS podría ser interceptado, o el inicio de OTP compartido entre dispositivos .
Esta es una definición flexible de la frase, sin embargo, generalmente es más que adecuada para las necesidades de la mayoría de las personas. No se recomendaría el uso de SMS si el espionaje del gobierno es una amenaza, y las OTP en una aplicación de teléfono deben considerarse cuidadosamente si este es el caso.
Absolutamente no, ya que tienes poco control sobre quién tiene acceso a él.
Aunque es (debería ser de todos modos) considerado Datos de Identificación Personal (PID) y tratado en consecuencia, estará disponible para una gran cantidad de sistemas en muchas organizaciones.
Además, harías bien en considerar si es realmente único. Si recuerdo correctamente, en el Reino Unido, ha habido bastantes veces en que los sistemas han creado números duplicados. Esta fue una de las razones por las que se creó un nuevo esquema de Número NHS.
No, la razón principal para la autenticación de dos factores es la siguiente:
Alguien que esté escuchando en la red o a través de registradores de teclas o registradores de pantalla, etc. puede robar su contraseña Y todo lo demás que proporcione con el inicio de sesión. La idea es evitar que un atacante inicie sesión incluso si logra obtener todos los detalles de una sola sesión de inicio de sesión. Como el número de seguro no cambia, no obtienes ninguna seguridad.
Es de vital importancia que la contraseña / token utilizado en la autenticación 2factor cambie cada vez.
Esto es, al menos parcialmente, una respuesta de UX, pero a menos que trabaje para HMRC (y probablemente ni siquiera entonces) realmente no puede garantizar que su usuario tenga un número de NI. Si no trabaja en HMRC (o en el departamento de nómina del empleador del usuario, o en algunos otros casos) no tiene ningún negocio que lo almacene.
También: puede llevar semanas obtener un número de NI a su llegada legítima al Reino Unido como adulto. El proceso se hace más difícil si otras actividades normales requieren un número de NI (imagine si necesita uno para obtener un teléfono móvil en un caso extremo).
Por lo tanto, si intenta usarlo, necesita un respaldo. Si el retroceso es menos seguro, esa es una ruta de ataque fácil. Si el respaldo es más seguro, solo use eso. Sin embargo, de manera realista, no se consigue mucho menos seguro que un número NI. Puede aparecer sobre su nombre en el campo de dirección de una letra (visible desde el exterior). A menudo se almacena en bases de datos con muchos y variados usuarios reales que no son revisados, etc.
(con la intención de abordar la pregunta subyacente: la pregunta en el título puede responderse simplemente con "no", esto se refiere a algunos de los "por qué")
Lea otras preguntas en las etiquetas passwords account-security