Autenticación de dos factores frente a la experiencia del usuario

Navega tus respuestas
1

Me pregunto si hay alguna razón para implementar un nombre de usuario / contraseña con 2FA o, desde la perspectiva del usuario, simplemente resolver con un nombre de usuario / código de 2FA. Estoy tratando de buscar un equilibrio saludable entre la facilidad de un proceso de inicio de sesión y no requerir que un usuario recuerde una contraseña (difícil).

Por supuesto, sé que agregar una contraseña lo hace más difícil, pero ¿pesa en la seguridad algo que también trae Google Authenticater?

¿Alguna idea sobre esto?

    
pregunta Ben 28.04.2018 - 17:24
fuente

1 respuesta

1

No recomendaría omitir contraseña. TOTP (lo que usted llama 2FA) usualmente tiene solo 6 dígitos, lo que no se recomienda como lo suficientemente fuerte. Otro problema puede ser que alguien pueda tener acceso al teléfono de las personas por un corto tiempo. Eso no es un problema, si ellos también necesitaran una contraseña. El código TOTP cambiaría rápidamente, por lo que no pueden escribirlo y esperar hasta que obtengan la contraseña. Pero sería un problema si no lo hace, ya que simplemente podrían iniciar sesión de inmediato.

    
respondido por el Peter Harmann 28.04.2018 - 19:09
fuente

Lea otras preguntas en las etiquetas

Inicio de sesión de flujo implícito desde SPA Shellcode no se ejecuta como propietario