¿Se puede implementar OTP sin 2FA? [duplicar]

1

Supongamos que tenemos un sistema en el que registramos a los usuarios con un nombre de usuario y un número de teléfono, dicho sistema podría autenticar al usuario basándose únicamente en su nombre de usuario y un OTP enviado a su número de teléfono (suponiendo que el costo de implementación no sea un factor) ? ¿Qué tan seguro sería esto?

    
pregunta monotonous 31.10.2016 - 11:14
fuente

3 respuestas

1

Sería tan seguro como el teléfono y la transferencia de token. Es decir. si el usuario pierde el teléfono o si el software se ve afectado por el malware o si muestra mensajes entrantes en la pantalla de bloqueo para que otros también puedan verlo o si alguien puede capturar el SMS (o lo que sea que use para enviar), entonces usted he perdido En la medida en que es similar a enviar el token por correo electrónico y esperar que solo el usuario tenga acceso a la cuenta y que nadie pueda olfatear el transporte del correo.

    
respondido por el Steffen Ullrich 31.10.2016 - 11:22
fuente
0

Pros

  • Más seguro que fácil de adivinar contraseñas.
  • El usuario no confiará en un administrador de contraseñas o en su memoria para recordar la contraseña.
  • Los usuarios no podrán compartir contraseñas con nadie, incluso si lo desean.
  • Hay muchas aplicaciones móviles que utilizan un método de autenticación similar. Hay muchas aplicaciones móviles que utilizan un método similar de autenticación. Por lo tanto, es un método probado y probado.

Cons

  • Deberá asumir que el usuario siempre tiene su teléfono.
  • Debe asumir que siempre están en el área de cobertura de la red.
  • Para los usuarios que no mantienen sus teléfonos protegidos con contraseña, están en alto riesgo.
  • Los usuarios que tienen notificaciones en pantalla pueden estar en riesgo. Sin embargo, si envía la OTP hacia el final del mensaje, la mayoría de los teléfonos no lo mostrarán en la pantalla.
  • Hay softwares que se pueden usar para espiar teléfonos que pueden estar presentes en el teléfono de un usuario. Sin una contraseña, el atacante puede iniciar sesión directamente en la cuenta.

Sugerencia

Para mayor seguridad, envíe la mitad de OTP en el teléfono y la otra mitad en el correo electrónico. Ese sería un método largo pero relativamente seguro. Y creo que este método no puede llamarse 2FA como:

Ambos son algo que tienes.

    
respondido por el Sanidhay 31.10.2016 - 12:36
fuente
0

Hmm, sería seguro proporcionado , como señala Steffen En una respuesta (no en la duplicación) estas cosas no le suceden (el teléfono se pierde, el teléfono muestra la contraseña en la pantalla de bloqueo, está infectado por malware y otros).

Lo que puedes hacer alternativamente es que puedes pedir una cadena aleatoria también durante el registro (como una contraseña, por lo tanto, con una mayor entropía). Y establece la contraseña como OTP + Random_string . Pídale al usuario que ingrese eso en el campo de la contraseña con el nombre de usuario como número de teléfono móvil (o lo que desee). Eso resolvería los problemas como lo indicó Steffen. Por lo tanto, sería mucho más seguro y casi a la par con 2FA.

Espero que esto ayude!

    
respondido por el Anirudh Malhotra 31.10.2016 - 12:34
fuente

Lea otras preguntas en las etiquetas