Sé que no lo es, ya que el servicio al que se está autenticando el usuario no puede verificar la corrección o la existencia del PIN. Sin embargo, necesito explicar esto a las personas que están convencidas de que es una autenticación de dos factores, ya que el usuario requiere para usar el PIN según los Términos y condiciones. ¿Hay algún tipo de definición "autoritativa" en la que pueda basarme mi argumentación? Sólo se encontró NIST 800-63-2 pero no es concluyente en este caso.
Si no pueden entender que el escenario es defectuoso, sería mejor evitar el argumento 2FA y simplemente quedarse con el argumento mucho más simple de que tener un factor inseguro hace que sea un método nulo.
En este caso, a menos que pueda imponer un PIN o código de acceso seguro al crear el certificado, puede estar seguro de que las personas perezosas (¡la mayoría de nosotros después de todo!) no se molestarán. Dejando el certificado abierto para copiar & reutilización no deseada.
ACTUALIZACIÓN: De sus comentarios.
Lo primero que debe hacer es asegurarse de que su propio trasero esté cubierto al elevar un riesgo formal si tiene un proceso adecuado disponible. De lo contrario, al menos asegúrate de tener una prueba escrita de que has planteado el problema.
El siguiente paso podría ser intentar y alentar a la organización a tener una revisión de seguridad externa. ¡Los departamentos de auditoría interna pueden ser muy útiles aquí! Por lo general, están muy agradecidos con cualquier persona que quiera hablarles de buena gana y, a menudo, están más que encantados de saber qué hacer frente a los riesgos de la organización.
No todos los problemas tienen una respuesta directa: /
La autenticación de dos factores requiere 2 de cada tres factores de autenticación: 1. algo que sabes 2. algo que tienes 3. Algo que eres (biométrico)
Sin embargo, dos factores no son una bala de plata, como se mencionó porque un factor aún puede ser débil. El riesgo de tener un 'algo que sabes' débil se mitiga parcialmente si aún tienes que tener algo como el certificado. Todavía estoy a favor de un fuerte 'algo que sabes' también porque un PIN de cuatro caracteres permite solo 10,000 combinaciones. Las protecciones deben estar en su lugar para evitar ataques de fuerza bruta o sin conexión si el artículo es robado. ¿Sería posible solicitar el PIN para el certificado y luego requerir una contraseña segura adicional?
Sin embargo, creo que si push es un PIN combinado con algo que tienes como un certificado de token, es aún más seguro que una contraseña por sí sola. Un atacante solo tiene que robar la contraseña si ese es el único factor. En dos factores, el atacante tiene que robar el token con el certificado y luego obtener el pin también. Se espera que las personas informen que falta su token, ya que ya no pueden obtener acceso y se puede quitar el token anterior, por lo que incluso si pudieran ingresar, necesitarían obtener más credenciales o métodos para mantener la persistencia.
Lea otras preguntas en las etiquetas authentication token