J'ai un compte avec une banque qui a une option de sécurité supplémentaire.Lorsqu'il ne reconnaît pas un périphérique utilisé pour accéder au compte, il sera soit:<ol> <li>Invite avec 1 des 3 questions de sécurité</li> <li>Envoyez un jeton unique via un message texte au téléphone portable.</li> </ol>J'ai déterminé que cela "reconnaît" un dispositif via Cookie (lorsque je désactive mes cookies de navigateur, c'est quand il m'apporte à nouveau pour l'option de sécurité supplémentaire).Supposons que les questions/réponses de sécurité que j'ai choisies ne sont pas soumises à l'ingénierie sociale de parcourir Facebook/LinkedIn/etc.Avait juste quelques questions:<ol> <li> Quelqu'un peut-il m'aider à énumérer toutes les raisons que le jeton unique est plus sécurisé que les questions de sécurité? Voici une partie de celles que je pouvais penser: <ul> <li>C'est vrai 2 facteurs: ce que vous-savez (identifiants de connexion/mot de passe), ce que vous-êtes (téléphone portable). Par opposition à ce que vous-connaissez (identifiants de connexion/mot de passe) et une autre ce que vous-connaissez (question/réponse secrète)</li> <li>Il est dynamique et ne fournit qu'un accès à une durée donnée.</li> <li>Y a-t-il d'autres que je manque?</li> </ul> </li> <li> Est le fait qu'ils utilisent des cookies pour "reconnaître" un dispositif et ne poussent donc plus pour le jeton ponctuel à subvertir ce mécanisme de sécurité (comme mettre une porte de fer à l'avant et laisser la porte arrière déverrouillée)? </li> <li> Avoir un compte avec une banque différente qui utilise une sécurité similaire. Cependant, quand je dégage mes cookies, ils reconnaissent mon appareil. Je suppose qu'ils suivent qu'ils suivent le (s) périphérique (s) connu (s) par adresse IP et éventuellement d'autres informations d'en-tête HTTP. Ce serait-il une meilleure façon de "reconnaître" que le cookie? </li> </ol>Merci,

Authentification à 2 facteurs VS Questions de sécurité

J'ai un compte avec une banque qui a une option de sécurité supplémentaire.

Lorsqu'il ne reconnaît pas un périphérique utilisé pour accéder au compte, il sera soit:

Invite avec 1 des 3 questions de sécurité
Envoyez un jeton unique via un message texte au téléphone portable.

J'ai déterminé que cela "reconnaît" un dispositif via Cookie (lorsque je désactive mes cookies de navigateur, c'est quand il m'apporte à nouveau pour l'option de sécurité supplémentaire).

Supposons que les questions/réponses de sécurité que j'ai choisies ne sont pas soumises à l'ingénierie sociale de parcourir Facebook/LinkedIn/etc.

Avait juste quelques questions:

Quelqu'un peut-il m'aider à énumérer toutes les raisons que le jeton unique est plus sécurisé que les questions de sécurité? Voici une partie de celles que je pouvais penser:
- C'est vrai 2 facteurs: ce que vous-savez (identifiants de connexion/mot de passe), ce que vous-êtes (téléphone portable).
  Par opposition à ce que vous-connaissez (identifiants de connexion/mot de passe) et une autre ce que vous-connaissez (question/réponse secrète)
- Il est dynamique et ne fournit qu'un accès à une durée donnée.
- Y a-t-il d'autres que je manque?
Est le fait qu'ils utilisent des cookies pour "reconnaître" un dispositif et ne poussent donc plus pour le jeton ponctuel à subvertir ce mécanisme de sécurité (comme mettre une porte de fer à l'avant et laisser la porte arrière déverrouillée)?
Avoir un compte avec une banque différente qui utilise une sécurité similaire. Cependant, quand je dégage mes cookies, ils reconnaissent mon appareil. Je suppose qu'ils suivent qu'ils suivent le (s) périphérique (s) connu (s) par adresse IP et éventuellement d'autres informations d'en-tête HTTP. Ce serait-il une meilleure façon de "reconnaître" que le cookie?

Merci,

authenticationpasswordsmulti-factor

14 août 2015Philip Tenn

Quelqu'un peut-il m'aider à énumérer toutes les raisons que le jeton unique est plus sécurisé que les questions de sécurité?

Pour évaluer la sécurité d'un système, nous avons non seulement loué ses avantages, mais également ses inconvénients. Je me concentre donc plutôt sur ce dernier aspect que vous et @johnwu a mentionné les côtés positifs essentiels des OTPS, mais qui sont vulnérables à ces attaques:

Certaines solutions sont déployées pour résoudre certains aspects de ces vulnérabilités, l'un d'entre eux est navigateurs durcis , d'autres ont suggéré l'utilisation de Jetons cryptés . Personnellement, je préfère Les jetons serment utilisés par exemple par Google.

Il existe également d'autres considérations (même si elles sont extrêmes mais susceptibles de se produire des cas) telles que lorsque votre appareil (ordinateur portable/téléphone) est volé juste avant d'utiliser le jeton que vous avez. Notez que, selon le pays et la méthode utilisée pour générer et livrer le jeton, certaines banques utilisées pour charger leurs clients (au moins dans le passé).

Avoir un compte avec une banque différente qui utilise une sécurité similaire. Cependant, lorsque je dégage mes cookies, ils "reconnaissent" mon appareil. Je suppose qu'ils suivent qu'ils suivent le (s) périphérique (s) connu (s) par adresse IP et éventuellement d'autres informations d'en-tête HTTP. Ce serait-il une meilleure façon de "reconnaître" que le cookie?

Vérifiez ma réponse à votre deuxième question:

Est le fait qu'ils utilisent des cookies pour "reconnaître" un dispositif et ne poussent donc plus pour le jeton ponctuel à subvertir ce mécanisme de sécurité (comme mettre une porte de fer à l'avant et laisser la porte arrière déverrouillée)?

Il y a beaucoup de choses qu'un attaquant peut faire avec un cookie détourné, mais dans le contexte que vous décrivez (système bancaire), il est inutile si votre cookie est compromis. Votre question est trop grave si les cookies sont le seul facteur utilisé par les banques pour reconnaître votre appareil, mais heureusement d'autres techniques efficaces telles que Navigateur Espriminting sont utilisés dans Parallèlement (certaines autres méthodes sont répertoriées ici aussi: Comment les banques déterminent-elles quand demander une authentification de deux facteurs?

15 août 2015user45139