contraseña de restablecimiento automático con MFA

1

Necesito implementar una función de restablecimiento de contraseña con autorización Multifactor. El plan es utilizar estos 2 factores: pedir una seguridad qs y enviar un correo electrónico / sms un código al usuario.

Creo que el orden de estos debe ser: responda qs --- > enviar código --- > crear nueva contraseña. Pero nuestra estructura actual tiene: enviar código - > contesta el qs --- > crear nueva contraseña.

¿Pensamientos?

    
pregunta Zoey 15.04.2018 - 03:22
fuente

1 respuesta

1

Su idea de cambiar el orden es buena, ya que la pregunta adicional podría usarse para evitar el envío de mensajes innecesarios de restablecimiento de contraseña simplemente escribiendo el nombre de usuario o la dirección de correo electrónico. La pregunta de seguridad no está ahí porque es segura: su naturaleza tiende a ser fácil de responder después de investigar el objetivo. Es por eso que el orden importa por otras razones.

Si utiliza las direcciones de correo electrónico como nombres de inicio de sesión, se unirán de manera que sea más fácil saber dónde va la información necesaria para restablecer la contraseña. En general, esto no es peligroso para todos los usuarios, pero en un grupo grande de usuarios puede haber alguien que sea vulnerable. Además, si el correo electrónico se ve comprometido primero, se puede usar para restablecer las contraseñas de dichos sitios. En este caso, dos factores no son muchos.

Hay todo tipo de variaciones, pero los factores siempre deben ser independientes: algo que debes saber y algo a lo que debes tener acceso. El uso de correo electrónico y SMS agrega un nivel adicional de seguridad, por ejemplo,

  1. Haga una pregunta de seguridad para iniciar el proceso.
  2. Enviar por correo electrónico un enlace único a una página de restablecimiento de contraseña.
  3. Esta página, cuando se accede a ella, envía un código al teléfono.

Hoy en día es común que las personas tengan su correo electrónico en su teléfono. Tener acceso ilimitado al teléfono de alguien le da el máximo poder sobre dos de estos factores: correo electrónico y amp; SMS. Es por eso que las preguntas de seguridad no son completamente inútiles, incluso si no agregan una capa fuerte de seguridad. La fase 1 posiblemente evita que un teléfono robado desbloqueado se use para restablecer la contraseña.

    
respondido por el Esa Jokinen 15.04.2018 - 08:23
fuente

Lea otras preguntas en las etiquetas