Correo electrónico para el segundo factor en sistemas 2FA

6

el escenario se encuentra en un entorno corporativo y no está conectado a Internet. El otro día estaba discutiendo con mi colega si el correo electrónico es lo suficientemente bueno como para ser el segundo factor en un sistema 2FA.

Mis administradores iniciarán sesión en el sistema a través de nuestra red corporativa, y luego se enviará una OTP a su correo electrónico, que utilizará para ingresar al sistema.

Sin embargo, mi colega es para que la OTP se envíe al teléfono móvil. Dije que incluso si él va a usar un teléfono móvil, todavía estará en la red interna para ingresar la OTP. No será muy diferente porque el servidor de correo electrónico también está en la red interna. También mencioné que es mucho más fácil perder un teléfono móvil, mientras que un servidor de correo electrónico no fallará tan fácilmente ya que puede ejecutarse en redundancia.

¿Cuáles son tus opiniones? ¿Las organizaciones más seguras de hoy dependen más de los teléfonos móviles para OTP?

    
pregunta Pang Ser Lark 15.07.2015 - 14:39
fuente

2 respuestas

5

Por definición, 2FA es si autentica usuarios basándose en dos de los siguientes:

  • Algo que sabes (como una contraseña)

  • Algo que tienes (como una llave)

  • Algo que eres (biométrica)

Veo que la gente a menudo discute a qué categoría pertenece el correo electrónico. Aunque muchos argumentan que pertenece a la categoría "Algo que tienes", creo que debería pertenecer a la categoría "Algo que sabes" porque la mayoría de las veces solo está protegida por una contraseña. Por lo tanto, la contraseña + correo electrónico OTP no es realmente 2FA. Y también, ¿podría una persona utilizar la misma contraseña para su correo electrónico que para el inicio de sesión del sistema?

Usar contraseña + teléfono móvil OTP sería real 2FA (Algo que sabes + Algo que tienes)

    
respondido por el pineappleman 15.07.2015 - 15:00
fuente
2

También desaliento el uso del correo electrónico en este escenario.

Obviamente, si solo lo está utilizando internamente, el atacante solo podría ser interno (o un primero externo debe ser interno). El flujo de correo electrónico interno es probablemente más fácil de detectar que tratar con el BTS para entregar el SMS.

Pero ambas formas entregan el segundo componente (para evitar la discusión sobre "factores" ;-) a través de un canal no necesariamente seguro.

Por lo tanto, es posible que tenga en cuenta que ofrece formas aún más seguras de autenticarse. Puede lograr esto mediante el uso de aplicaciones para teléfonos inteligentes, tokens de hardware o incluso tokens de hardware disponibles. En el caso de tokens de hardware disponibles como el Yubikey , usted es quien crea la clave secreta que se utiliza para generar las contraseñas de un solo uso, mientras que en caso de hardware "precalificado", el proveedor lo hizo.

Es posible que desee echar un vistazo a privacyIDEA , que es una solución de código abierto, que admite todo este tipo de tokens, email, sms, Smartphone, hardware, sembrable. Luego, puede decidir qué sistema o qué administrador requiere qué nivel de seguridad.

    
respondido por el cornelinux 21.07.2015 - 15:30
fuente

Lea otras preguntas en las etiquetas