¿Es útil la autenticación de 2 factores para el correo web cuando el correo electrónico que verifica a través de otros métodos no tiene 2fa? [duplicar]

Question

¿Es útil la autenticación de 2 factores para el correo web cuando el correo electrónico que verifica a través de otros métodos no tiene 2fa? [duplicar]

#1 de ISMSDEV (0 votos)
#2 de Serge Ballesta (0 votos)

1

Puedo consultar el correo web de mi oficina a través de enlace . Cuando mi nombre de usuario y contraseña coinciden, se envía un SMS de 5 dígitos a mi teléfono que también debe ingresarse en el sitio web. De esta manera mi teléfono es el segundo factor.

Sin embargo, en mi teléfono móvil o en cualquier tableta también puedo configurar una cuenta de correo electrónico 'Exchange'. De esta manera solo necesito un nombre de usuario y la contraseña durante la configuración inicial. Nunca existe la necesidad de un segundo factor.
Creo que esto es posible porque 'Outlook en cualquier lugar' está habilitado en el servidor de Exchange.

Me pregunto si el segundo factor de SMS realmente agrega seguridad: ¿alguien que haya interceptado mi nombre de usuario / contraseña puede simplemente configurar una cuenta de correo electrónico de Exchange en su propio teléfono y nunca se le pedirá un código SMS?

multi-factor outlook

pregunta Jeff 29.05.2017 - 21:55

fuente

2 respuestas

Lea otras preguntas en las etiquetas multi-factor outlook

El proceso desconocido apaga la computadora cuando finaliza el árbol de proceso [duplicado] ¿El uso de tokens CSRF como mecanismo de defensa bloquea todas las solicitudes de origen cruzado?

score 0 · Answer 1

Las contraseñas basadas en la aplicación utilizadas solo permiten ciertos tipos de conexiones. Sí, podrían acceder a su correo electrónico si estuviera comprometido, pero solo debería usarlo a través de un canal seguro (como imap con ssl), por lo que no es probable, a menos que su punto final esté comprometido, pero entonces tiene problemas mayores.

Las contraseñas basadas en aplicaciones no tienden a permitir el inicio de sesión en el correo web y la administración de cuentas. Esto significa que un atacante no puede realizar cambios en el nivel de cuenta, como los cambios de contraseña.

score 0 · Answer 2

Parece que el administrador de correo se detuvo en la mitad del camino. Tiene razón en un punto: si un solo acceso solo necesita usuario + contraseña, el nivel de seguridad global del servidor de correo es usuario-contraseña , incluso si hay otros accesos más seguros como un correo web 2FA.

El único caso en el que el correo web 2FA mejoraría la seguridad global sería si la contraseña 2FA del correo web fuera diferente a la contraseña de intercambio directo.

Pero esto puede suceder en las organizaciones cuando un VIP insiste en poder leer su correo corporativo en su teléfono inteligente o tableta sin sentirse aburrido por su sección. @ & amp ;! como 2FA ... ¡Incluso un administrador consciente de la seguridad difícilmente puede decir no a su jefe!