¿Cuáles son las razones para solicitar 2FA antes de la contraseña? [duplicar]

Navega tus respuestas
1

El flujo de inicio de sesión de mi empleador solicita un nombre de usuario, luego un 2fa, luego una contraseña. Lo hacen de esta manera porque temen que alguien pueda intentar forzar las contraseñas de fuerza bruta y crear un ataque de denegación de servicio bloqueando todas nuestras cuentas. Este flujo rompe mi administrador de contraseñas y, como no he visto un flujo similar en otros lugares, apuesto a que hay razones de peso para no hacer las cosas de esa manera.

¿Qué son los argumentos convincentes para el flujo tradicional de username -> password -> 2fa ?

    
pregunta user3642765 29.08.2018 - 15:07
fuente

3 respuestas

2

En realidad, me gusta el flujo que su empleador tiene mejor, para ser honesto. Si no puede pasar la entrada del código, lo más probable es que nunca pase la solicitud de contraseña (que es lo que normalmente bloquea la cuenta). Por lo tanto, este flujo realmente parece evitar que llegue tan lejos.

Creo que la razón por la que todos usan el flujo tradicional se debe únicamente al hecho de que su método de autenticación ya está implementado y están agregando 2FA como una reflexión posterior (característica adicional) en lugar de tenerlo incorporado desde el suelo. para implementarlo de la misma manera que su empleador, o simplemente no lo han pensado de la misma manera para ver el beneficio.

    
respondido por el Jesse P. 29.08.2018 - 15:40
fuente
2

También me gusta el flujo de su empleador, siempre que los usuarios tengan un método pasivo 2FA como las aplicaciones de generación de códigos, Yubikey, etc.

Si su sistema de autenticación permite a los usuarios configurar métodos 2FA activos como correo electrónico / SMS OTP o notificaciones push a sus teléfonos, entonces hay una razón totalmente no relacionada para poner 2FA después de la contraseña: no porque proteja mejor la cuenta, sino porque un atacante puede agotar la memoria de un teléfono que recibe miles de SMS o notificaciones push. Sin mencionar que algunos operadores de telefonía móvil cobran por los SMS entrantes.

Consulte mi respuesta más detallada para la misma pregunta general aquí .

    
respondido por el Mike Ounsworth 29.08.2018 - 16:31
fuente
0

Por lo que sé, ambas opciones son igual de seguras. Pero no estoy de acuerdo con la respuesta de @Jesse P.

Ambos factores deben bloquear la cuenta. Imaginemos que un atacante ha obtenido la contraseña de la víctima (tal vez a través de una fuga de datos, suplantación de identidad, etc.), si el segundo factor no bloquea la cuenta, el atacante puede intentar usarla de manera brutal, incluso si cambia con el tiempo, hasta que pueda acceder. la cuenta. Esto no se ve afectado por el orden en que se ingresan los factores de autenticación.

El único riesgo posible en estos escenarios, si la implementación es correcta, es la enumeración de la cuenta de los mensajes de error o el tiempo basado en el segundo factor.

Como nota al margen, hay una tercera posibilidad en los casos en que todos los usuarios deben tener un segundo factor y todos ellos tienen el mismo tipo, es decir, solicitar ambos al mismo tiempo. Especial cuidado en este caso para no revelar qué factor falló

    
respondido por el Mr. E 29.08.2018 - 16:25
fuente

Lea otras preguntas en las etiquetas

¿Es posible cifrar un archivo usando tanto el cifrado AES-256 como la contraseña y el archivo de claves utilizando OpenSSL? si PCI DSS requiere almacenamiento encriptado de tarjetas de crédito, ¿cuáles son los requisitos para almacenar la clave de descifrado?