Usando autenticación solo contraseñas de una sola vez [duplicar]

1

Me interesaría un consejo. Imagine un mecanismo de autenticación donde los usuarios se autentiquen SOLAMENTE utilizando ¿Algún código (por ejemplo, una contraseña de un solo uso) que reciben (por ejemplo, SMS) en su teléfono móvil?

¿Es seguro? Creo que no es una buena práctica confiar solo en la autenticación en tales códigos que vienen en el teléfono móvil, porque alguien puede simplemente Roba tu teléfono móvil y eso es todo.

Creo que una mejor alternativa sería combinar el mecanismo anterior con un nombre de usuario / contraseña autenticación. ¿Cuál es tu opinión? ¿Cuáles son las mejores prácticas en tal dirección?

    
pregunta user2568508 02.08.2013 - 12:23
fuente

2 respuestas

2

Diría que solo un código en el teléfono es más débil que el nombre de usuario y la contraseña (porque puedes perder un teléfono y alguien podría abusar de él). Combinarlos es una forma de autenticación multifactor:

  • algo que sabes (contraseña y nombre de usuario)
  • algo que tienes (teléfono con mensaje de texto)

y dependiendo del nivel de autenticación que necesite, esto se considera una buena y sólida forma de autenticación.

    
respondido por el Lucas Kauffman 02.08.2013 - 13:16
fuente
0
Los diseños de

One Time Passcode fuera de banda como estos se denominan múltiples factores únicos y son bastante comunes, especialmente cuando se requiere una escalada de privilegios cuando el usuario ya ha iniciado sesión, por ejemplo. haciendo una transaccion

Los teléfonos móviles son solo computadoras pequeñas siempre conectadas en la actualidad y, por lo tanto, no son un segundo factor, por lo que no considero ninguno de los siguientes métodos de autenticación como "segundo factor":

  • autenticación bluetooth (es compatible con algunas funciones de desbloqueo del protector de pantalla)
  • Código de acceso único de SMS
  • NFC (utilizado para transacciones micro financieras)

El factor único múltiple puede ser más fuerte que el factor individual, aunque tenga cuidado porque pedirle a un usuario dos contraseñas de texto no es mucho más fuerte que una solicitud de contraseña de un solo factor.

    
respondido por el Callum Wilson 02.08.2013 - 14:58
fuente

Lea otras preguntas en las etiquetas