¿Son defectuosos los tokens de 2FA si el usuario puede iniciar sesión en el sitio web desde el mismo dispositivo móvil?

Navega tus respuestas
0

Si estoy usando algo como Authy para tokens de software para mis usuarios, e inician sesión en la aplicación web en el dispositivo móvil, ¿acaso no han perdido el beneficio de 2FA (es decir, la pérdida del teléfono móvil por sí solo) puede resultar en un compromiso de ambos factores)?

Si es así, ¿hay alguna forma confiable de evitar que los usuarios se autentiquen en el mismo dispositivo móvil (o incluso en cualquier dispositivo móvil)?

editar: descubrí que Authy (al menos en iOS) le permite establecer un PIN de acceso, lo que ayuda a los usuarios de confianza. Ahora, si hubiera una manera de hacer cumplir un PIN, estaría completamente feliz.

    
pregunta Jack Douglas 21.11.2014 - 16:09
fuente

1 respuesta

3

Sí, pierde parte de la protección ya que no puede protegerlos si el dispositivo está completamente comprometido. Todavía, sin embargo, protege contra cualquier número de ataques limitados.

Por ejemplo, si están configurados para conectarse a través de un proxy que puede eliminar el cifrado, el 2FA permanecerá seguro. Si la base de datos de la contraseña se ve comprometida en algún lugar en el que usaron el mismo PW, el 2FA permanecerá seguro. Si usan la cuenta en otra computadora en algún momento y esa computadora está en peligro, 2FA estará a salvo.

Un compromiso completo del teléfono es un caso de falla, pero es solo uno de los muchos casos de falla posibles. Vale la pena informar al usuario de que no es aconsejable iniciar sesión en el mismo dispositivo que utiliza para el 2FA, pero en última instancia, aún proporciona un beneficio significativamente mayor que el no tener un segundo factor.

    
respondido por el AJ Henderson 21.11.2014 - 16:25
fuente

Lea otras preguntas en las etiquetas

Firmar el certificado SSL con el certificado raíz usando openssl ¿Puede un hacker que haya ingresado un honeypot virtual atacar una LAN?