autenticación de dos factores sin TLS / SSL

2FA reducirá la posibilidad de que un atacante pueda robar un conjunto completo de credenciales de inicio de sesión porque, como señala, es probable que el segundo factor esté limitado por la vida útil o una política de uso único.

Pero 2FA no afectará la indagación o el secuestro de sesión . Por lo tanto, si bien a un atacante le puede resultar más difícil iniciar sesión mientras usted, pueden ver su flujo de comunicación y enviar mensajes que parecen provenir de su sesión.

Además de proporcionar confidencialidad, SSL también garantiza que realmente esté hablando con el servidor. Sin SSL, un ataque MiTM puede pretender ser el servidor. Por ejemplo, puede intentar cerrar la sesión en el servidor para finalizar la sesión, pero un MiTM puede interceptar el comando de cierre de sesión y regresar a una página que hace que parezca que se cerró la sesión aunque realmente no lo estaba.

Por lo tanto, puede evitar futuros intentos de inicio de sesión falsos, pero en realidad no lo hace estar seguro.

Como usted mismo ha declarado: es ligeramente más seguro porque está limitado a un < Un marco de tiempo de 30 segundos, pero eso realmente no importa mucho en el gran esquema de las cosas: todavía es muy inseguro y en su mayoría solo aumentará el esfuerzo que los usuarios legítimos tendrán que poner.