¿Un nombre de usuario / contraseña + PIN enviado por correo electrónico cuenta como 2FA seguro?

Question

¿Un nombre de usuario / contraseña + PIN enviado por correo electrónico cuenta como 2FA seguro?

#1 de Rоry McCune (3 votos)

1

Para iniciar sesión en una aplicación web de empresa, nuestro equipo de seguridad insiste en 2FA ya que está alojado en nuestra red interna.

La solución propuesta es tener un nombre de usuario estándar (dirección de correo electrónico) y un inicio de sesión de contraseña, que luego activará un PIN de cuatro dígitos que se enviará por correo electrónico al usuario, al que deberán ingresar para iniciar sesión.

En mi opinión, son dos caras de la misma moneda (algo que los usuarios saben): usar la dirección de correo electrónico, en lugar de enviar el PIN a un número de teléfono o un token físico.

¿Esto es estrictamente 2FA? ¿Es significativamente más seguro, o es solo un inconveniente adicional para el usuario a cambio de una pequeña ganancia?

web-application authentication email

pregunta Midas 05.06.2014 - 10:30

fuente

1 respuesta

Lea otras preguntas en las etiquetas web-application authentication email

¿Estoy exponiendo mi aplicación a falsificación de direcciones IP / falsificación de IP? ¿Es seguro confiar en los mensajes de texto como un medio de autenticación?

score 3 · Accepted Answer

Desde un punto de vista de seguridad puro, no consideraría esto como 2FA (que tradicionalmente se define como "dos de algo que sabes, algo que tienes, algo que eres).

Desde un punto de vista práctico, puedo ver algunos problemas potenciales con esto en un entorno empresarial. En muchas empresas, el inicio de sesión en las aplicaciones está vinculado al inicio de sesión de Active Directory, que también se utiliza para acceder al sistema de correo electrónico, por lo que un atacante con acceso al nombre de usuario / contraseña de la cuenta de los usuarios también podría acceder al token .

Incluso si no están vinculados formalmente, muchos usuarios corporativos según mi experiencia practicarán una especie de inicio de sesión informal en el que sincronizarán manualmente sus contraseñas para todos los sistemas corporativos, por lo que nuevamente un atacante con acceso a una voluntad Obtén acceso a los demás, sin pasar por tu 2FA.

Si considera otro posible escenario de ataque (malware en la PC de los usuarios) nuevamente, se evitaría este requisito, ya que sería posible acceder a las contraseñas de los usuarios para la aplicación y el servicio de correo electrónico usando un keylogger.

En resumen, diría que de sus dos opciones, esto es más un inconveniente adicional a cambio de una pequeña ganancia. Si el perfil de riesgo de la aplicación justifica 2FA, me gustaría ver soluciones completas de estilo 2FA (por ejemplo, fichas físicas o biométricas)