¿Cuál es el término para requerir que un usuario realice un proceso de activación / verificación adicional solo en dispositivos nuevos?

Navega tus respuestas
1

Cuando inicio sesión en el sitio web de mi banco en un dispositivo nuevo (ya sea un teléfono nuevo o un navegador web que no he usado antes), me pide que envíe un código de activación a mi teléfono o correo electrónico. Debo ingresar este código único antes de que me permita iniciar sesión.

La próxima vez que inicie sesión no tengo que hacer esto, a menos que ocurra algo como que borre todas mis cookies o algo. Incluso puedo tener la autenticación multifactor activada donde necesito hacer otra cosa, como ingresar otra frase o un código de un dongle o algo así, pero no tengo que hacer el código de verificación a través de un mensaje de texto u otros medios a menos que algo cambia a mi navegador / situación del dispositivo.

¿Cuál es el término para esto? La mayoría de los términos de Autenticación de factores se refieren a la necesidad de hacer algo cada vez, solo me pregunto si hay un término para cuando solo necesitas hacerlo en dispositivos nuevos.

    
pregunta Tom Kidd 12.02.2015 - 17:16
fuente

1 respuesta

4

Esto cae bajo el área de Autenticación adaptativa , aunque ese término cubre todo el paquete: decidir quién está basado en múltiples factores y obtener más seguridad utilizando múltiples recursos, incluida la eliminación de cookies para actuar. Como factor en futuras autenticaciones.

Un par de ejemplos bien conocidos son:

Determinar si viene de un dispositivo que el servidor conoce es una "cookie de dispositivo" en ForgeRock o "identificación de dispositivo" en RSA. Pero, en realidad, tienen múltiples factores a los que asignan ponderaciones cuando deciden confiar en usted:

  • ¿Han fallado las autenticaciones de esta cuenta?
  • ¿Está la dirección IP del cliente en una lista blanca?
  • ¿La dirección IP del cliente es una buena geolocalización?
  • ¿Ha iniciado sesión anteriormente la cuenta desde esta IP?
  • ¿Se reconoce el dispositivo por inicios de sesión anteriores (por ejemplo, cookie de dispositivo)?
  • ¿Cuánto tiempo ha pasado desde que esta cuenta inició sesión por última vez?

El hecho de provenir de un dispositivo reconocido tiene un gran peso, por lo que si falta la cookie del dispositivo, a menudo tiene que hacer el trabajo para obtenerlo. Pero es bastante posible escribir una política donde ese no sea el caso, dada la variedad de controles que puede utilizar para determinar la confianza.

    
respondido por el gowenfawr 12.02.2015 - 17:47
fuente

Lea otras preguntas en las etiquetas

Cifrado del lado del cliente con la sostenibilidad como un servicio Cómo probar la vulnerabilidad de php CVE-2014-3515