¿Se podría considerar un ID de sesión como un factor válido en 2FA?

Question

¿Se podría considerar un ID de sesión como un factor válido en 2FA?

#1 de symcbean (1 votos)

0

Como se indica en esta pregunta :

La autenticación de dos factores o de múltiples factores se basa en tres formas posibles de autenticación:


Algo que sabes que se considera secreto (contraseña)



Algo que tienes (token, token SMS, tarjeta, ...)



Algo que eres (biométrica)

Dado que se obtiene un ID de sesión después de una autenticación exitosa, ¿podría considerarse como "algo que tienes" obtenido de "algo que sabes" (por ejemplo, usuario / contraseña)?

Por ejemplo, si quiero autorizar una operación específica mediante el uso de datos biométricos, ¿el par ("ID de sesión", "datos biométricos") se considerará como una autenticación válida de dos factores?

multi-factor

pregunta Jausk 15.03.2018 - 14:31

fuente

1 respuesta

Lea otras preguntas en las etiquetas multi-factor

Se requiere más de un administrador en el sitio para iniciar sesión en una base de datos / recursos Los intentos de registro no válidos del servidor Debian y el uso de gran ancho de banda

score 1 · Answer 1

Los términos "algo tú ..." pretenden ilustrar con un ejemplo cuáles son los conceptos subyacentes. Sería un error inferir una relación inversa; los ejemplos no definen el concepto.

Generalmente, cuando hablamos de identificadores de sesión, hablamos de sesiones HTTP. Aquí el identificador de sesión tiene 2 funciones:

actúa como credenciales sustitutas en lugar de proporcionar su nombre de usuario y contraseña con cada solicitud
proporciona un medio para que la aplicación mantenga el estado (por ejemplo, el contenido de su cesta de la compra) entre solicitudes

Ya que actúa como un sustituto de la contraseña (nombre de usuario y) en lugar de a su lado, no es una autenticación de 2 factores.

Los datos de autenticación son suministrados por la parte que busca ser autenticada, sin embargo, el servicio genera una identificación de sesión y el cliente la refleja. Por lo tanto, no es datos de autenticación. Permitir que los clientes elijan su propia identificación de sesión crea vulnerabilidades de seguridad.

Eso no quiere decir que los datos persistentes almacenados en el navegador no se puedan usar como un segundo factor ("registro del dispositivo"), sino que deben ubicarse independientemente de la sesión de la aplicación del usuario.