¿Cuándo, durante la autenticación, debo solicitar un token OTP?

Navega tus respuestas
0

Estaba trabajando en la implementación de una estrategia OTP en nuestro proceso de inicio de sesión de una aplicación web cuando me preguntaba a mí mismo: ¿Debería solicitar el token OTP antes o después preguntar para el nombre de usuario / contraseña?

Lo que generalmente veo con los servicios que utilizo es que debo proporcionar el token OTP después de que hayan verificado mi nombre de usuario / contraseña.

Me preguntaba si esto se debió simplemente a las decisiones de la experiencia del usuario o si había un aspecto de seguridad.

    
pregunta Der Hochstapler 31.01.2015 - 23:35
fuente

1 respuesta

2

Desde una perspectiva de seguridad , tiene sentido preguntar al mismo tiempo, de esa manera, un atacante no sabe qué es lo que hicieron mal. Con algunos servicios (por ejemplo, Google), la OTP tiene otra opción para enviar un mensaje de texto, por lo que, desde una perspectiva de UX , lo pone después de que la contraseña reduzca los mensajes falsos.

    
respondido por el cpast 31.01.2015 - 23:56
fuente

Lea otras preguntas en las etiquetas

¿Existe un sitio barato o gratuito para el examen CISSP? [cerrado] ¿Cómo funciona el sled NOP con MSFVenom? [cerrado]