Задать вопрос
xenon
@xenon
Too drunk to fsck

Почему двухфакторная аутентификация не ухудшает безопасность?

Рассмотрим самый простой пример 2FA: сначала пользователь вводит пароль, затем вводит код из SMS. Вроде бы все хорошо, чтобы пройти аутентификацию таким образом, взломщику надо уже два фактора получить, это сложнее.

Но ведь и пользователю лишиться одного из двух факторов проще, чем лишиться одного из одного. Значит, должна существовать схема восстановления каждого фактора. То есть, зная пароль, но лишившись номера телефона, должно быть можно восстановить номер. А имея номер телефона, должно быть можно восстановить пароль.

Но в чем тогда выгода? Ведь, если взломщик украл телефон (всего 1 фактор) - он может получить доступ к аккаунту установив свой пароль.

Не является ли это не усилением, а ослаблением защиты? Ведь теперь, чтобы угнали аккаунт, достаточно потерять любой один из двух факторов. Взломщик может атаковать самое слабое звено из двух
  • Вопрос задан
  • 634 просмотра
Подписаться 7 Простой 5 комментариев
Пригласить эксперта
Ответы на вопрос 10
saboteur_kiev
@saboteur_kiev Куратор тега Информационная безопасность
software engineer
То есть, зная пароль, но лишившись номера телефона, должно быть можно восстановить номер. А имея номер телефона, должно быть можно восстановить пароль.

Но в чем тогда выгода?

В том, что вы привели пример НЕПРАВИЛЬНОЙ настройки двухфакторной авторизации.
Восстановление доступа должно идти через службу безопасности, возможно даже с личным присутствием.
А то, как двухфакторная авторизация сделана в общих мобильных сервисах - это так, для галочки и небольшого усложнения.
Ответ написан
xmoonlight
@xmoonlight
https://sitecoder.blogspot.com
Любое количество факторов на одном устройстве рано или поздно превращаются в один.
Используйте 2FA правильно!
Ответ написан
Комментировать
SagePtr
@SagePtr
Еда - это святое
Во-первых, украсть телефон на порядок сложнее, чем логин-пароль, для этого нужно физически находиться рядом с владельцем.
Во-вторых, пропажа телефона обнаружится практически сразу, тогда как украденным логином и паролем могут пользоваться долгие годы, не вызывая подозрений.
В-третьих, телефон может быть запаролен, в таком случае злоумышленнику потребуется сперва обойти этот пароль, что требует дополнительного времени, за которое владелец заметит пропажу и примёт меры.
В-четвёртых, не обязательно использовать один и тот же телефон. Никто не мешает установить приложение для генерации кодов на отдельный телефон, в который даже не вставлять сим-карту и не подключать к сети, с собой его не носить. Тогда для кражи понадобится уже как минимум проникновение в жилище.
А некоторые сервисы позволяют использовать USB-брелок наподобие yubikey, с датчиком отпечатка, в таком случае придётся физически заставить владельца приложить к нему палец.

А касательно восстановления, многие сервисы позволяют генерировать для 2FA резервные коды, которые можно распечатать/переписать на бумаге и положить в шкаф. Или в несгораемый сейф.
Ответ написан
Комментировать
@0x131315
Активировав 2fa, получаешь одноразовый токен для устройства и десяток одноразовых резервных токенов для входа.
При утере устройства, входишь через один из резервных токенов, анулируешь токен устройства, и перевыпускаешь новый.
Утеря устройства и утеря/исчерпание резервных токенов - потеря аккаунта.
Ответ написан
Комментировать
@antonwx
Как правило для сброса номера телефона как минимум требуется пообщаться с техподдержкой и убедить её, что ты - это ты, а не дядя вася мамкин хацкер. Ну а с телефоном всё проще - как правило они у пользователей под каким-никаким, а паролем, да и вирусню на телефон не так уж и просто закинуть.
Ответ написан
@AstraVlad
Финансист, консультант, программист-любитель
Вообще-то номер телефона как правило "восстановить" или изменить без личного визита в банк (или куда ещё) нельзя. Пароль, имея телефон, сбросить обычно можно, но разработчики исходят из того, что у нормального человека телефон защищен как минимум пин-кодом, а как максимум биометрией и даже, украв физически аппарат, злоумышленник не получит доступа к данным.

Да, можно, дать на лапу манагеру в салоне и втихую перевыпустить симку, но тут уже проблема в человеческом факторе, а не в уязвимости системы защиты.
Ответ написан
firedragon
@firedragon
Не джун-мидл-сеньор, а трус-балбес-бывалый.
есть еще 3 х факторная система.
В банке привязка идет к симке (не номеру а imsi)
Привет русский стандарт
Ответ написан
То есть, зная пароль, но лишившись номера телефона, должно быть можно восстановить номер. А имея номер телефона, должно быть можно восстановить пароль.

Такие кейсы, обычно, обрабатываются вручную, тк владелец аккаунта должен как-то доказать что он-это он службе поддержки.
Хотя на сколько я знаю, некоторые сервисы это правило нарушают.
Ответ написан
dimonchik2013
@dimonchik2013
non progredi est regredi
вот тут ошибка в рассуждениях
Значит, должна существовать схема восстановления каждого фактора.


восстановления 2FA не существует, только замена
Ответ написан
SignFinder
@SignFinder
Wintel\Unix Engineer\DevOps
Не используйте SMS в 2FA, используйте одноразовый код из любого приложения Authenticator (Google, Microsoft), которое должно быть запаролено отдельным паролем (не отпечатком пальца с телефона и т.п.)
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы