xenon
@xenon
Too drunk to fsck

Почему двухфакторная аутентификация не ухудшает безопасность?

Рассмотрим самый простой пример 2FA: сначала пользователь вводит пароль, затем вводит код из SMS. Вроде бы все хорошо, чтобы пройти аутентификацию таким образом, взломщику надо уже два фактора получить, это сложнее.

Но ведь и пользователю лишиться одного из двух факторов проще, чем лишиться одного из одного. Значит, должна существовать схема восстановления каждого фактора. То есть, зная пароль, но лишившись номера телефона, должно быть можно восстановить номер. А имея номер телефона, должно быть можно восстановить пароль.

Но в чем тогда выгода? Ведь, если взломщик украл телефон (всего 1 фактор) - он может получить доступ к аккаунту установив свой пароль.

Не является ли это не усилением, а ослаблением защиты? Ведь теперь, чтобы угнали аккаунт, достаточно потерять любой один из двух факторов. Взломщик может атаковать самое слабое звено из двух
  • Вопрос задан
  • 600 просмотров
Пригласить эксперта
Ответы на вопрос 10
saboteur_kiev
@saboteur_kiev
software engineer
То есть, зная пароль, но лишившись номера телефона, должно быть можно восстановить номер. А имея номер телефона, должно быть можно восстановить пароль.

Но в чем тогда выгода?

В том, что вы привели пример НЕПРАВИЛЬНОЙ настройки двухфакторной авторизации.
Восстановление доступа должно идти через службу безопасности, возможно даже с личным присутствием.
А то, как двухфакторная авторизация сделана в общих мобильных сервисах - это так, для галочки и небольшого усложнения.
Ответ написан
xmoonlight
@xmoonlight
https://sitecoder.blogspot.com
Любое количество факторов на одном устройстве рано или поздно превращаются в один.
Используйте 2FA правильно!
Ответ написан
SagePtr
@SagePtr
Еда - это святое
Во-первых, украсть телефон на порядок сложнее, чем логин-пароль, для этого нужно физически находиться рядом с владельцем.
Во-вторых, пропажа телефона обнаружится практически сразу, тогда как украденным логином и паролем могут пользоваться долгие годы, не вызывая подозрений.
В-третьих, телефон может быть запаролен, в таком случае злоумышленнику потребуется сперва обойти этот пароль, что требует дополнительного времени, за которое владелец заметит пропажу и примёт меры.
В-четвёртых, не обязательно использовать один и тот же телефон. Никто не мешает установить приложение для генерации кодов на отдельный телефон, в который даже не вставлять сим-карту и не подключать к сети, с собой его не носить. Тогда для кражи понадобится уже как минимум проникновение в жилище.
А некоторые сервисы позволяют использовать USB-брелок наподобие yubikey, с датчиком отпечатка, в таком случае придётся физически заставить владельца приложить к нему палец.

А касательно восстановления, многие сервисы позволяют генерировать для 2FA резервные коды, которые можно распечатать/переписать на бумаге и положить в шкаф. Или в несгораемый сейф.
Ответ написан
@0x131315
Активировав 2fa, получаешь одноразовый токен для устройства и десяток одноразовых резервных токенов для входа.
При утере устройства, входишь через один из резервных токенов, анулируешь токен устройства, и перевыпускаешь новый.
Утеря устройства и утеря/исчерпание резервных токенов - потеря аккаунта.
Ответ написан
@antonwx
Как правило для сброса номера телефона как минимум требуется пообщаться с техподдержкой и убедить её, что ты - это ты, а не дядя вася мамкин хацкер. Ну а с телефоном всё проще - как правило они у пользователей под каким-никаким, а паролем, да и вирусню на телефон не так уж и просто закинуть.
Ответ написан
@AstraVlad
Финансист, консультант, программист-любитель
Вообще-то номер телефона как правило "восстановить" или изменить без личного визита в банк (или куда ещё) нельзя. Пароль, имея телефон, сбросить обычно можно, но разработчики исходят из того, что у нормального человека телефон защищен как минимум пин-кодом, а как максимум биометрией и даже, украв физически аппарат, злоумышленник не получит доступа к данным.

Да, можно, дать на лапу манагеру в салоне и втихую перевыпустить симку, но тут уже проблема в человеческом факторе, а не в уязвимости системы защиты.
Ответ написан
firedragon
@firedragon
Senior .NET developer
есть еще 3 х факторная система.
В банке привязка идет к симке (не номеру а imsi)
Привет русский стандарт
Ответ написан
@vabka
Токсичный
То есть, зная пароль, но лишившись номера телефона, должно быть можно восстановить номер. А имея номер телефона, должно быть можно восстановить пароль.

Такие кейсы, обычно, обрабатываются вручную, тк владелец аккаунта должен как-то доказать что он-это он службе поддержки.
Хотя на сколько я знаю, некоторые сервисы это правило нарушают.
Ответ написан
dimonchik2013
@dimonchik2013
;)
вот тут ошибка в рассуждениях
Значит, должна существовать схема восстановления каждого фактора.


восстановления 2FA не существует, только замена
Ответ написан
SignFinder
@SignFinder
Wintel\Unix Engineer
Не используйте SMS в 2FA, используйте одноразовый код из любого приложения Authenticator (Google, Microsoft), которое должно быть запаролено отдельным паролем (не отпечатком пальца с телефона и т.п.)
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы