¿Por qué no hacer que el segundo factor sea el único factor? [duplicar]

Navega tus respuestas
7

La mayoría de los sitios web utilizan un mecanismo de autenticación basado en un solo factor, la contraseña. Sin embargo, algunos sitios web populares también implementan un mecanismo de dos factores (a menudo opcional) para iniciar sesión; por lo general, requiere el uso de la contraseña y responde a un desafío que puede obtenerse desde un dispositivo que el usuario tiene.

Hay algunos sitios web, como Medium, que han tomado esta idea de autenticación de dos factores de la otra manera, manteniendo solo el segundo factor. Sin embargo, Medium implementa esto enviando un enlace a la dirección de correo electrónico registrada del usuario.

Medium argumenta que dicho esquema es bastante seguro, además de ser conveniente para los usuarios. Sus argumentos se reducen principalmente a:

  • Si bien los administradores de contraseñas son una forma segura de lidiar con el problema de tener que recordar y escribir contraseñas, en caso de que el almacenamiento de contraseñas de un sitio web se vea comprometido, aún es necesario cambiar las contraseñas; y con algunos o el otro sitio web comprometido cada día, no es una buena experiencia por parte del usuario.
  • Un compromiso de la cuenta de correo electrónico del usuario implicaría el compromiso de todas las cuentas vinculadas con él, ya que la mayoría de los sitios web permiten el restablecimiento de contraseñas enviando un correo electrónico con un enlace.

Tengo problemas para encontrar un buen argumento en contra de un esquema de este tipo en el que el primer factor se elimina / reemplaza por el segundo factor.

Entonces, ¿por qué el segundo factor de autenticación no suele ser el único factor, especialmente en el caso de sitios web que implementan la autenticación de un solo factor mediante el uso de contraseñas? En otras palabras, ¿por qué no convertir el desafío-respuesta en el único factor en lugar de tener una contraseña?

¿Cuáles son las desventajas de tal esquema?

Existe cierto debate sobre si una dirección de correo electrónico se puede considerar realmente como un segundo factor; sin embargo, estoy preguntando acerca de la idea en general: el desafío puede ser, por ejemplo, (enviado a y) recuperado de un dispositivo que el usuario tiene.

    
pregunta user2064000 09.06.2016 - 13:03
fuente

2 respuestas

4

Creo que hay dos preguntas independientes aquí que necesitas diferenciar.

Pregunta # 1: ¿Debo usar solo un factor o debo usar dos?

Esta es la pregunta que direccionas en tu título: "¿Por qué no hacer que el segundo factor sea el único factor?".

Dos factores serán más seguros que uno, pero vienen con una facilidad de uso y un costo de implementación. Si vale la pena, el costo depende de lo que sus clientes estén dispuestos a aceptar y de cuán valioso sea lo que está tratando de proteger. Para un banco 2FA es casi una necesidad, para un foro de pasatiempos en línea es probablemente una exageración. No es posible una respuesta general de talla única.

Pregunta # 2: Si uso solo un factor, ¿cuál debería elegir?

Esta es la pregunta del enlace a las direcciones medianas (en su mayoría). No es lo mismo que la primera pregunta.

Esto básicamente se reduce a "qué tipo de autenticación es mejor", obviamente una pregunta muy amplia sin una respuesta definitiva. Pero veamos el esquema que mencionas.

¿Usar correo electrónico en lugar de una contraseña? Probablemente puede ser una buena idea para un objetivo de bajo valor. Mi foro de hobby sobre el alojamiento compartido es mucho más probable que sea violado que el GMail. Pero si soy un banco, esto es probablemente malo, ya que algunos clientes pueden tener proveedores de correo electrónico muy débiles.

¿Usar un teléfono inteligente en lugar de una contraseña? Si su principal amenaza es un gran ataque de fuerza bruta de bot o credenciales reutilizadas de otras violaciones, esta es probablemente una buena idea. Si su principal amenaza es espiar a alguien cercano, esto probablemente sea malo: probablemente haya algunas personas en su vida que tengan fácil acceso a su teléfono inteligente. Así que para el foro de pasatiempos diría que sí, pero para Ashley Madison tal vez no. (O pensándolo bien, tal vez hubiera sido lo mejor para ellos ...)

Creo que la lección para llevar a casa aquí es que un factor no tiene que ser una contraseña, pero lo que debería depender de las circunstancias específicas de su situación.

    
respondido por el Anders 09.06.2016 - 14:02
fuente
0

La autenticación de dos factores, generalmente se basa en algo que sabes (una contraseña) y algo que tienes (por ejemplo, token RSA, cuenta de correo electrónico, teléfono).

Si eres la única persona que conoce tu "algo que sabes", entonces esto debería estar perfectamente bien. Sin embargo, los ataques de fuerza bruta, las tablas de arco iris y los ataques de ingeniería social están diseñados para sortear eso.

La seguridad en torno a "algo que tienes" se basa en tu capacidad para mantener la propiedad. P.ej. Perdiste tu token / teléfono, alguien ha pirateado tu dirección de correo electrónico.

En general, se trata del riesgo, es menos probable que pierda el control de lo que sabe y lo que tiene al mismo tiempo, que cualquiera de estos individualmente.

También existe la complicación de la biometría. eso es simplemente algo que tienes, eso es realmente difícil de robar sin ser notado. Sin embargo, esto tiene la gran desventaja de que si se compromete (a través de la falsificación), entonces es muy difícil cambiarlo.

En una nota al margen, me informaron de alguien que había puesto su token RSA frente a una cámara web y había publicado todas las actualizaciones en un sitio web. Dado que nadie sabía para qué era el token, o cualquiera de las otras credenciales necesarias, resolvió el problema "Olvidé mi token".

    
respondido por el Colin Cassidy 09.06.2016 - 14:24
fuente

Lea otras preguntas en las etiquetas

cifrados SSH, MAC e intercambio de claves (y pruebas de pluma de los mismos) ¿Cómo implementar el cifrado del lado del cliente para el contenido de CalDav y CardDav?