Tengo una cuenta con un banco que tiene una opción de seguridad adicional.
Cuando no reconozca un dispositivo que se está utilizando para acceder a la cuenta, puede:
- Preguntar con 1 de 3 preguntas de seguridad
- Envíe un token de una sola vez por mensaje de texto al teléfono celular.
Determiné que "reconoce" un dispositivo a través de una cookie (cuando borro las cookies de mi navegador es cuando me solicita la opción de seguridad adicional).
Supongamos que las preguntas / respuestas de seguridad que he elegido no están sujetas a ingeniería social al navegar por facebook / linkedin / etc.
Acabo de tener algunas preguntas:
-
¿Puede alguien ayudarme a enumerar todas las razones por las que el token de una sola vez es más seguro que las preguntas de seguridad? Aquí hay algunos de los que podría pensar:
- Es cierto 2 Factor: lo que sabes (credenciales de inicio de sesión / contraseña), lo que tienes (teléfono celular).
A diferencia de lo que usted sabe (credenciales de inicio de sesión / contraseña) y otro lo que sabe (pregunta / respuesta secreta) - Es dinámico y solo proporciona acceso por un período de tiempo determinado.
- ¿Hay otros que me faltan?
- Es cierto 2 Factor: lo que sabes (credenciales de inicio de sesión / contraseña), lo que tienes (teléfono celular).
-
Es el hecho de que utilizan cookies para "reconocer" un dispositivo y, por lo tanto, ya no piden que el token de una sola vez subvierta este mecanismo de seguridad (como poner una puerta de hierro en la parte delantera y dejar la puerta trasera desbloqueada) ?
-
Tenga una cuenta con un banco diferente que utilice una seguridad similar. Sin embargo, cuando borro mis cookies, todavía reconocen mi dispositivo. Supongo que están rastreando el (los) dispositivo (s) conocido (s) por dirección IP y posiblemente otra información del encabezado HTTP. ¿Sería esta una forma mejor / más segura de "reconocer" que la cookie?
Gracias,