OTP para sincronizar dispositivo móvil

Question

OTP para sincronizar dispositivo móvil

#1 de ThoriumBR (1 votos)

1

Escenario: una aplicación web con autenticación de dos factores que utiliza el nombre de usuario / contraseña y la OTP de hardware.

Una vez que haya iniciado sesión en la aplicación, uno de los módulos de la aplicación debe usarse en una tableta o en cualquier dispositivo móvil sin un puerto USB disponible. ¿Debería la aplicación generar un OTP y vincularlo con un usuario y luego permitir que el usuario inicie sesión en la aplicación desde el dispositivo móvil solo con ese código?

El usuario inicia sesión desde una computadora.
El usuario genera una OTP desde la aplicación.
El usuario va a enlace .
El usuario ingresa la contraseña y OTP.
El usuario se autentica y la OTP se anula.

¿Hay una mejor manera de abordarlo?

web-application authentication one-time-password mobile

pregunta Carlos Arturo Alaniz 01.09.2014 - 07:07

fuente

1 respuesta

Lea otras preguntas en las etiquetas web-application authentication one-time-password mobile

¿Cuáles son los efectos del software web en Windows XP? Problema con OpenSSL rechazando CA posiblemente debido a un número de serie de 12 dígitos

score 1 · Answer 1

Creo que este es un enfoque razonable, ya que hemos visto innumerables sitios web pirateados y millones de contraseñas robadas. El uso de una autenticación de dos factores mitiga el riesgo.

Dependiendo del nivel de seguridad de su instalación, no se necesita una OTP basada en hardware. La OPT basada en software, como Google Authenticator, será suficiente en la mayoría de los casos.

Puede utilizar Google Authenticator para Android , < a href="https://itunes.apple.com/us/app/google-authenticator/id388497605?mt=8"> iOS , Windows Phone o Windows .

Hay bibliotecas para usar en PHP , Perl y ASP . Incluso puede usarlo con SSH .

Además de ser baratos (los usuarios generalmente ya tienen un teléfono inteligente), los tokens basados en software son más difíciles de perder, ya que requieren que el usuario pierda o reinicie el teléfono de fábrica. Esos casos se pueden resolver enviando un enlace de restablecimiento al usuario, solicitando otra información para autenticarlo, como una pregunta secreta, un número de teléfono o cualquier otra información que sea difícil de adivinar .