“Autenticación fuerte”: autenticación multifactor frente a la autenticación múltiple del mismo factor

0

Tengo un debate con un colega sobre el uso del mismo tipo de factor de autenticación dos veces (como usar dos contraseñas). Mi pregunta es si cae dentro de la definición de "autenticación fuerte".

Sé que la mayoría de ustedes dirá que la autenticación de 2 factores es mucho mejor que usar el mismo tipo de factor, pero como lo estoy revisando contra un contrato que especifica "autenticación fuerte" ( y no 2FA ), quería saber si crees que se puede considerar como autenticación fuerte.

No hace falta decir que estamos hablando de dos conjuntos de UID y contraseñas.

    
pregunta RafiG 05.01.2018 - 21:34
fuente

2 respuestas

2

Si el contrato exige una "autenticación fuerte", creo que está abierto a interpretación. También depende del tipo de información que está protegiendo y de cómo se accede a esa información. Mi banco, por ejemplo, no requiere autenticación de dos factores para acceder a mi dinero, solo una contraseña segura.

Para responder a su pregunta, no creo que requerir dos conjuntos de nombres de usuario y contraseñas sea más seguro que solo uno. El beneficio de la autenticación de dos factores es que si un factor se ve comprometido, el otro probablemente no lo sea. Tener dos nombres de usuario y contraseñas no tiene sentido si el escritorio de un usuario está comprometido.

    
respondido por el Mrdeep 05.01.2018 - 21:59
fuente
0

Dejando a un lado el lenguaje del contrato y tratando con la pregunta como se indica, no, lo que ha descrito no es una autenticación "fuerte", sino dos veces la autenticación. Si el diseño de ambos es deficiente, unirlos no los hace más fuertes.

Puede justificar que se lo considere un "factor 2", pero tendría que sobrevivir al riesgo de que un experto piense que realmente no sabe lo que está haciendo y que pierde confianza con ellos.

Se puede lograr una autenticación sólida con su arquitectura específica con un mecanismo de autenticación fuerte. Canal cifrado, contraseñas con hash y saladas del lado del servidor, políticas de bloqueo y metacolíticas que se ocupan de la autorización adecuada de cuentas y revisiones / supervisión de eventos de autenticación. Lo más probable es que estés haciendo todas esas cosas de todos modos.

    
respondido por el schroeder 09.01.2018 - 15:42
fuente

Lea otras preguntas en las etiquetas