¿Puedo tener autenticación de notificación push sin una aplicación de terceros?

0

Estaba leyendo sobre el último meta de seguridad para 2fa y descubrí que sms no es una forma segura de realizar la verificación del dispositivo debido a preocupaciones de phishing. Parecía que la mayoría de los artículos / blogs destacaban la importancia de la autenticación de notificaciones push. Esencialmente, usted recibe una notificación de inserción en su teléfono en cada intento de inicio de sesión, que le permite confirmar o rechazar el intento. Sin embargo, todo esto depende de que ya se hayan instalado aplicaciones de terceros, como Authy, que tienen las API que envían y reciben las notificaciones.

Sin embargo, exigir a los usuarios que ya tengan instalada una aplicación por separado sería prácticamente asesinar a los porcentajes de conversión, especialmente al principio. Sin embargo, parece que si tuviera que crear un sistema push endémico para mi aplicación, tendría la misma funcionalidad, al tiempo que eliminaría a un tercero, ya que todo lo que realmente están ofreciendo es una API existente (que parece fácilmente replicable). ¿Es esto correcto? ¿O me faltarían algunas características de seguridad que solo tienen las aplicaciones de terceros existentes?

(Supongamos que solo estamos preocupados por los ataques de phishing / MITM / ingeniería social que tienen como objetivo el robo de credenciales de inicio de sesión / contraseñas de un solo uso y no teléfonos reales robados, en cuyo caso mi propuesta tendría problemas obvios, ya que el impulso el sistema está vinculado a la aplicación en ese dispositivo físico)

    
pregunta 07.04.2018 - 00:02
fuente

2 respuestas

0

Cuando estás usando SMS, estás autentificando el sim del usuario como un factor adicional. Mientras que en el caso de notificaciones push, el dispositivo móvil del usuario actúa como proveedor de identidad adicional.

Definitivamente, puede utilizar la notificación de inserción desde su aplicación para autenticar el dispositivo móvil del usuario y no faltará en ninguna funcionalidad desde el punto de vista de seguridad. Las aplicaciones como authy proporcionan más comodidad para el usuario, ya que proporciona un segundo factor en diferentes formas y no solo notificaciones automáticas. Por ejemplo, la notificación de inserción podría no funcionar cuando el dispositivo no tiene una conexión a Internet activa. Las aplicaciones como Authy o Google Authenticer también proporcionan tokens de software basados en sellos de tiempo que funcionan incluso sin Internet.

Si más personas se van con authy, puede asumir con seguridad que muchos de sus usuarios lo tienen de forma predeterminada y no actúa como una barrera adicional para la mayoría de su base de usuarios. Se trata de una compensación por conveniencia que por seguridad, ya sea si se va con authy o cualquier otro tercero en lugar de enviar notificaciones push a través de su propia aplicación.

    
respondido por el kvssd 02.08.2018 - 17:51
fuente
0

Ciertamente, puedes implementar esto por ti mismo en lugar de un tercero.

Puede enviar una notificación de inserción o implementar una OTP (que es menos cómoda, pero en general es más segura ya que no habrá tapping por errores, solo la inserción intencional del código OTP y, además, más confiable en caso de inestabilidad. conexión de red)

Las aplicaciones de autenticación de terceros como Authy simplemente simplifican esto para usted y, por lo general, el usuario usará aplicaciones adicionales que requieren 2fa de un tipo.

    
respondido por el Harel M 02.08.2018 - 18:26
fuente

Lea otras preguntas en las etiquetas