Estoy un poco confundido acerca de la definición de autenticación de dos factores. ¿Un método de inicio de sesión que contenga un pin generado por hardware y la verificación de SMS constituye una autenticación de dos factores?
Estoy un poco confundido acerca de la definición de autenticación de dos factores. ¿Un método de inicio de sesión que contenga un pin generado por hardware y la verificación de SMS constituye una autenticación de dos factores?
Estrictamente hablando, 2FA solo significa que se utilizan dos factores para autenticar a un usuario.
Lo que generalmente vemos es una autenticación basada en contraseña junto con un SMS o una aplicación (por ejemplo, RSA Secure ID o Google Authenticator) generó un código OTP (contraseña de un solo uso)
En tu ejemplo, se usan dos factores.
Sin embargo, esto no cumple con las mejores prácticas cuando se consideran al menos dos de los siguientes principios.
Tanto el SMS como el PIN generado por el hardware se encuentran en la categoría "Lo que tienes". Si usa dos factores 'Lo que tiene', ambos tienen la misma probabilidad de ser robados [Recuerde por qué anotar las contraseñas es una mala práctica.]
La mayoría de los profesionales de infosec se refieren a una solución de autenticación como "factor doble" cuando combina factores de dos categorías diferentes de autenticador: lo que sabe, lo que tiene y lo que es (biométrica). Un dispositivo de hardware que genera un PIN (¿una contraseña de una sola vez, presumiblemente?) Y un teléfono que recibe un código de verificación de SMS (también presumiblemente generado aleatoriamente por el servidor de autenticación) normalmente se considerarán dos factores "lo que tenga".
Por lo tanto, no cumplirían con la definición normal de autenticación de dos factores, a pesar de que ofrecen una seguridad bastante buena contra ataques.
Lea otras preguntas en las etiquetas authentication account-security multi-factor