¿Por qué se presenta la autenticación multifactor en dos pasos en lugar de uno [duplicado]

Navega tus respuestas
0

Cuando uso la autenticación de dos factores de Google Authenticator, Google me dirá si la contraseña es incorrecta antes de pedirme un código de autenticación.

Esto va contra al menos una línea de razonamiento intuitiva: permite que un atacante compruebe si tiene la contraseña correcta antes de intentar atacar la autenticación de dos factores.

¿Cuáles son las compensaciones que hacen que esta sea una opción razonable en el caso de Google, y en general? ¿Cómo debería esto informar preguntas similares en otros espacios?

Esta pregunta es sobre 2FA en general, pero Google es solo un ejemplo ampliamente utilizado.

    
pregunta jtpereyda 05.03.2018 - 20:40
fuente

2 respuestas

2

Evita que el atacante sepa si implementas la autenticación multifactor, lo que reduce la superficie de ataque.

Editar: también le permitirá recibir alertas si su contraseña está comprometida sin permitir que alguien ingrese a su cuenta. Esto permitirá a los usuarios que no implementan la práctica de seguridad de contraseñas únicas resolver el problema antes de que ocurra una violación en otro lugar.

    
respondido por el David Kamer 05.03.2018 - 20:48
fuente
1

Este es un problema de usabilidad contra seguridad. No decir que la contraseña estaba equivocada hasta después de que se haya autenticado a través de la aplicación sería algo más seguro. Pero, por otro lado, no sería una experiencia de usuario muy positiva.

La pérdida de seguridad aquí es mínima, ya que Google es muy bueno bloqueando los intentos de fuerza bruta en vivo. La contraseña tendría que ser muy mala o el atacante tendría que conocerla para que esto funcione.

Así que puedo entender por qué Google optó por la usabilidad aquí. Quieren que las personas utilicen 2FA, y la mejor manera de convencer a las personas para que lo hagan es brindarles una experiencia de usuario fluida.

    
respondido por el Anders 05.03.2018 - 20:49
fuente

Lea otras preguntas en las etiquetas

¿Cuáles son las vulnerabilidades de seguridad de un sitio web que me permite iniciar sesión mediante POSTing de los datos del formulario mediante programación? ¿Cómo puede ser seguro el sistema ChipTAN / CardTAN alemán?