¿Es menos seguro requerir contraseña y el teléfono para iniciar sesión?

Navega tus respuestas
0

Me preocupa la seguridad de un sistema que requiere que sus usuarios ingresen su "correo electrónico y contraseña" y también su número de teléfono registrado, que debe verificarse cada vez que inicie sesión.

Para mí, esto parece ser otro punto de falla para que un ingeniero social se aproveche. Hemos visto un montón de personas que estén dispuestas a transferir cuentas a sus propios nombres para solicitar la autenticación de dos factores .

También, ¿Lo que estoy describiendo es la autenticación de dos factores todavía? ¿O es algo completamente diferente?

Lo pregunto porque mi cliente me está pidiendo que implemente este extraño estándar de autenticación.

Cualquier enlace a los estudios sobre este tema sería extremadamente útil. Gracias.

Para aclarar, cada vez que inicie sesión se tomarán estos pasos.
  1. Introduce el correo electrónico.
  2. Introduzca la contraseña.
  3. Ingrese el número de teléfono registrado.
  4. Verificar el número de teléfono. Si no puede, el sistema lo desconecta.
pregunta Ryuzaki 11.07.2016 - 22:56
fuente

2 respuestas

1

Sí, esta es una autenticación de dos factores y agrega una seguridad significativa.

  

Para mí, esto parece ser otro punto de falla para que un ingeniero social se aproveche.

Esto no es agregar otro punto débil. Se está agregando otra capa de protección.

  

Hemos visto a muchas personas que están dispuestas a transferir cuentas a sus propios nombres para controlar la autenticación de dos factores antes.

No es 100% perfecto. Nada es. Pero es una gran mejora con solo usar un solo factor.

Hay informes casi diarios de grandes violaciones de datos con contraseñas en texto sin formato en todo pastebin. Los atacantes escriben guiones para probar automáticamente estas credenciales contra diferentes servicios para robar información valiosa. ¿Crees que pasarán por la molestia de atacar tu sitio, cuando tendrán que hacer una llamada telefónica para transferir un número de teléfono que quizás ni siquiera tengan por cada cuenta que quieran violar? No.

También sospecho que en muchos países, los acompañantes telefónicos que simplemente transfieren un número como ese sin ninguna verificación podrían ser legalmente responsables. Nuevamente, solo porque un sistema se haya roto en algunas circunstancias no significa que sea completamente inútil.

  

También, ¿Lo que estoy describiendo es la autenticación de dos factores todavía? ¿O es algo completamente diferente?

A menos que me esté perdiendo algo, esto es claramente antiguo 2FA. La contraseña es algo que sabes, el teléfono es algo que tienes.

  

Para aclarar, cada vez que inicie sesión, se tomarán estos pasos. [...]

Algunos puntos aquí:

  • Asegúrese de que no es posible que el sistema le indique a qué número de teléfono está conectada una cuenta de usuario.
  • ¿Por qué tiene que volver a ingresar el número de teléfono? Eso ya debería estar almacenado en la base de datos, ¿verdad? (Supongo que cada cuenta está conectada a un número de teléfono, de lo contrario no tiene sentido).
  • Dice que si no puede verificar el número de teléfono, el sistema cerrará su sesión. Diría que no se le debe permitir iniciar sesión hasta que haya verificado el número de teléfono.
respondido por el Anders 11.07.2016 - 23:16
fuente
0

Si la verificación del número de teléfono es a través de recibir un código por SMS, entonces "Sí", es una autenticación de dos factores:

  1. Algo que sabes: correo electrónico y contraseña
  2. Algo que tienes: teléfono verificado

Esto generalmente se considera mucho más seguro que cualquiera de los dos factores por sí solo. De hecho, el informe de investigaciones sobre violaciones de datos de Verizon de 2016 menciona que "el 63 por ciento de las violaciones de datos confirmadas involucran contraseñas débiles, predeterminadas o robadas".

Referencias:

respondido por el Scott 11.07.2016 - 23:08
fuente

Lea otras preguntas en las etiquetas

¿Qué tipo de daño hace el malware HummingBad para Android cuando no puede obtener acceso a la raíz? Metasploit Ruby Scripting: Problema con framework.db.creds