¿Qué tan segura es la autenticación de dos factores?

La respuesta a la pregunta realmente depende del método en el que se implementa la autenticación de dos factores (2FA), el escenario en el que se implementa y los recursos disponibles para que un atacante intente derrotar el método seleccionado de autenticación de dos factores.

Existen muchos métodos para lograr la autenticación de “dos factores”, pero la mayoría implica aumentar un nombre de usuario / contraseña con un factor independiente adicional. Los métodos comunes de autenticación de dos factores y sus desafíos se enumeran a continuación.

Generadores sin conexión de contraseña de un solo uso (OTP)

Los generadores de OTP sin conexión incluyen tokens de OTP de hardware tradicionales que usan una pieza de hardware o software para generar un código de varios dígitos que se utiliza para demostrar la posesión de ese generador de tokens. La solución funciona sembrando tanto el generador como el servidor con el mismo secreto simétrico, y usando un algoritmo matemático para generar el OTP basado en la hora actual o en un contador. Idealmente, estas soluciones se implementan en una pieza discreta de hardware, pero también se pueden implementar en un software que se puede ejecutar en un dispositivo como un teléfono móvil. El enfoque permite que la solución se use para autenticar sin que el dispositivo generador esté conectado a la red.

Hay una variedad de implementaciones de este enfoque, el más popular es RSA SecurID (propietario) y los protocolos TOTP / HOTP (parte del conjunto de estándares IETF de OATH).

La seguridad del sistema depende de dos elementos clave:

1. Seguridad de la semilla simétrica: si un atacante compromete el generador OTP o el servidor utilizado para validar la OTP generada / enviada para obtener acceso a esa semilla simétrica, el juego termina. El atacante puede generar la OTP correcta en cualquier momento y, siempre que posea el primer factor de autenticación (nombre de usuario / contraseña), suplanta al usuario final sin ser detectado. Este fue el problema causado por la violación de la instalación de fabricación SecurID de RSA en 2011: los atacantes obtuvieron acceso a los secretos simétricos en millones de tokens de hardware SecurID. Y, por supuesto, también es importante asegurarse de que, en el caso de las soluciones de token de hardware, el token de hardware se entregue al usuario final correcto y no se intercepte.
2. Seguridad del canal utilizado para enviar OTP: como se señaló anteriormente, el generador de OTP está fuera de línea; el generador de OTP se usa para crear una contraseña de un solo uso que el usuario envía utilizando un dispositivo conectado a la red (generalmente además de su nombre de usuario y contraseña). Desafortunadamente, si el dispositivo utilizado para enviar la OTP (y nombre de usuario y contraseña) se ve comprometido a través de malware, o el usuario está diseñado socialmente para enviar esta información a un sitio web fraudulento, le da al atacante la capacidad de realizar una autenticación única en en nombre del usuario. Este ha sido un vector de ataque común contra sitios web de banca en línea, un enfoque exacerbado por kits de herramientas como el troyano Zeus.

Además de los desafíos de seguridad enumerados anteriormente, los tokens OTP de hardware también sufren otras deficiencias:

1. Usabilidad: los usuarios finales deben transcribir la OTP desde su dispositivo generador al dispositivo que solicita las credenciales de autenticación. Esto puede ser un desafío para los usuarios, ya que los códigos OTP suelen tener entre seis y ocho dígitos y están listos para errores de transcripción. Esto puede conducir a la frustración del usuario en caso de intentos fallidos de autenticación, y la rebelión de los usuarios contra el requisito de usar 2FA. Cuando se implementa OTP a través de una aplicación de software en un teléfono móvil, el problema de usabilidad se ve agravado por el requisito de que el usuario cambie entre aplicaciones para generar una OTP y, posteriormente, vuelva a la aplicación original para ingresar a la OTP.
2. Implementabilidad: en el caso de los tokens OTP de hardware, las empresas deben comprar / adquirir tokens, configurar su servidor OTP para usar los tokens aprovisionando los secretos simétricos correctos y asociando los tokens con las cuentas de los usuarios, y distribuyendo tokens a los usuarios finales. Esto agrega tiempo y costo adicionales para implementar una autenticación sólida en cualquier organización de tamaño suficiente, lo que significa que muchas organizaciones solo implementarán 2FA en un subconjunto de usuarios. El uso de dispositivos / aplicaciones móviles como generadores de OTP alivia un poco este dolor, pero aumenta la posibilidad de que el malware en el dispositivo móvil pueda robar el secreto simétrico que siembra el algoritmo de generación de OTP.
3. Mantenimiento: una vez más, en el caso de los tokens OTP de hardware, hay costos adicionales ocultos. Los tokens de hardware requieren baterías, que pueden agotarse y requieren reemplazo. Además, los usuarios tienden a perder, romper u olvidar los tokens, lo que requiere la implementación de tokens OTP de reemplazo o alternativas temporales. Otro problema oculto es que algunos tokens de hardware, como RSA SecurID, tienen una vida útil incorporada; en esencia, el token es un bien perecedero que caducará después de que haya expirado una duración específica.

Si bien los tokens de hardware brindan una buena seguridad basada en hardware, solo lo hacen si confía en que su proveedor no se verá comprometido, sepa que sus usuarios no ingresan su OTP indiscriminadamente, protegen los secretos de OTP en su servidor OTP y usted no Tenga en cuenta los costos directos e indirectos. Las aplicaciones de generador de OTP en el teléfono móvil abordan algunos, pero no todos, los problemas con los tokens de hardware, con la posibilidad elevada de que un atacante con o sin acceso físico pueda robar el secreto simétrico del teléfono.

SMS / Voz Entrega de contraseña por única vez

La persistente disponibilidad de datos y conectividad telefónica ha dado lugar a una alternativa al enfoque tradicional del generador de OTP descrito anteriormente. En lugar de usar un token de hardware dedicado, o incluso una aplicación, algunos proveedores están entregando soluciones que entregan una OTP generada por el servidor al usuario mediante un mensaje de texto (enviado al número de teléfono conocido del usuario) o mediante una llamada telefónica que lee el OTP en voz alta utilizando síntesis de texto a voz.

Varios proveedores de soluciones han creado tales soluciones, incluidas RSA, Authentify, Microsoft / PhoneFactor y muchas otras.

En esta solución, la seguridad del sistema depende de elementos ligeramente diferentes:

1. Seguridad del canal utilizado para entregar la OTP: en última instancia, la posesión del número de teléfono utilizado para recibir la OTP es el factor crítico para asegurar esta solución. Si alguien roba el teléfono del usuario final y conoce su nombre de usuario y contraseña, puede suplantar al usuario final a un proveedor de servicios. Sin embargo, hay otros ataques que son posibles. Por ejemplo, un atacante puede recibir los mensajes SMS o llamadas telefónicas del usuario final clonando la tarjeta SIM del teléfono móvil. Alternativamente, el atacante puede simplemente diseñar socialmente a la compañía telefónica o al proveedor de servicios para redirigir el tráfico de SMS / teléfono a un nuevo número (“Oh, perdí mi teléfono, ¿puede reenviar todo el tráfico a 555-1234 ahora?”). Finalmente, un atacante puede tener éxito en convencer al usuario de que instale software para interceptar y reenviar la OTP al atacante, como es el caso de los ataques Hesperbot más sofisticados contra aplicaciones de banca en línea.
2. Seguridad del canal utilizado para enviar OTP: como se indicó anteriormente, si el usuario recibe la OTP de forma segura, pero ingresa la OTP en una aplicación o navegador web comprometido, entonces un atacante puede perpetrar un ataque en tiempo real para obtener una sesión válida con el proveedor del servicio

Si bien las soluciones de SMS y OTP entregadas por voz evitan los problemas de implementación y mantenimiento de los generadores OTP tradicionales, comparten muchos de los mismos desafíos en términos de usabilidad. Además, tienen los siguientes inconvenientes adicionales:

1. Variabilidad de costos: en algunos casos, el costo de 2FA en estas soluciones se administrará por evento de autenticación, lo que significa un costo establecido por SMS o llamada de voz entregada. No solo puede ser un desafío predecir el volumen de transacciones (rápido: ¿cuántas veces tiene la intención de autenticarse en su VPN este año?), Los costos de entrega también pueden ser variables (es decir, un SMS cuesta más entregar a Antartica que Atlanta ) Esto puede hacer que el presupuesto sea un desafío para las organizaciones de TI.
2. Confiabilidad: tanto el SMS como la OTP entregada por voz requieren que el usuario posea su teléfono y tenga recepción. Esto no siempre es cierto y puede ser especialmente problemático en situaciones específicas. Por ejemplo, un usuario que se encuentra en itinerancia a través de las fronteras internacionales puede no recibir mensajes SMS de manera oportuna (la mayoría de los SMS y OTP de voz deben usarse en un intervalo específico) o incurrir en costos de envío adicionales. En verticales específicos, los entornos operativos pueden prohibir o interferir con el uso de teléfonos; en particular, los entornos de atención médica que incluyen áreas de protección electromagnética pueden ser especialmente problemáticos.

En la mayoría de los casos, los SMS se han adoptado para la banca de consumo y las aplicaciones de Internet de consumo como “suficientemente bueno”. Las soluciones tienen la ventaja de que son fáciles de implementar y relativamente económicas. Dicho esto, son dolorosos de usar (especialmente en aplicaciones solo para dispositivos móviles), y la seguridad que ofrecen probablemente no sea tan alta como muchos vendedores podrían representar.

Autenticación basada en notificaciones push

Las notificaciones push aprovechan la creciente disponibilidad de teléfonos inteligentes con conexiones de datos “siempre activas”. Estas soluciones utilizan una aplicación móvil dedicada para recibir solicitudes para aprobar un intento de autenticación. Estos enfoques varían dramáticamente en la implementación, pero en general intentan abordar los desafíos de usabilidad y costos con SMS y soluciones OTP entregadas por voz.

La seguridad de estos enfoques dependerá en gran medida de la implementación de la solución; La mayoría de los enfoques tienden a ser propietarios:

1. Seguridad del material criptográfico: en algunos casos, la aplicación móvil utilizará la criptografía de clave pública para permitir que el teléfono genere respuestas criptográficas a un desafío entregado mediante la notificación push; en otros casos, se pueden usar secretos simétricos (en algunos casos extremos, la solución de notificación push actúa como una capa sobre la OTP tradicional, con la aplicación esencialmente actuando como una forma inteligente de abordar los problemas de usabilidad de la OTP). Como antes, la seguridad de estas soluciones dependerá de la seguridad de cualquier material criptográfico (claves simétricas, claves privadas, tokens de sesión) suministradas al dispositivo.
2. Seguridad del usuario del canal para entregar la notificación push: esto dependerá del servicio particular de notificación push utilizado (Apple Push Notification Services o Google Cloud Messaging). Los proveedores pueden o no elegir emplear métodos adicionales para aumentar la seguridad del mecanismo de entrega, pero eso solo genera más preguntas cuando es probable que dichos enfoques sean propietarios y no estén sujetos a un escrutinio adecuado.

Los sistemas basados ​​en notificaciones push, como los de Duo Security, Nok Nok Labs (para quienes trabajo) y otros abordan dramáticamente los problemas de implementación y mantenibilidad de los generadores OTP tradicionales, y los problemas de variabilidad de costos de las soluciones SMS y OTP entregadas por voz. . También tienen la ventaja de que pueden usarse para proporcionar una verdadera autenticación “fuera de banda”, donde el dispositivo y el canal utilizados para aprobar una solicitud de autenticación es independiente del canal utilizado originalmente para instigar la solicitud de autenticación.

Por desgracia, ellos también tienen problemas:

1. Confiabilidad: Al igual que con los SMS y OTP entregados por voz, la efectividad de estas soluciones depende de la confiabilidad de la conexión de datos. Sin embargo, estas soluciones al menos tienen la ventaja de que generalmente no hay un cargo por transacción por autenticación.
2. Seguridad del dispositivo: en algunos casos, la posesión del dispositivo del usuario final es suficiente para comprometer su cuenta; Es posible que algunas soluciones ni siquiera requieran un nombre de usuario y una contraseña para activar la autenticación, y pueden no requerir que el usuario se autentique en su teléfono para aprobar una solicitud de autenticación.

A medida que más organizaciones implementen aplicaciones web y móviles, esperaría ver intentos de incorporar capacidades de autenticación basadas en inserción en las aplicaciones móviles para aumentar la seguridad cuando el usuario visita la aplicación web.

Otros métodos 2FA

Wow, esta respuesta es mucho más larga de lo que esperaba escribir, así que voy a cerrarla por el momento. Existen otros enfoques para 2FA, incluido el uso de tarjetas inteligentes (que tienen requisitos de hardware que los hacen costosos y no apropiados para la mayoría de las implementaciones de consumidores o empresas), respuestas basadas en el conocimiento (que requieren que el usuario ingrese información que, en teoría, solo ellos lo saben; en la práctica, esto no es 2FA, ya que KBA es simplemente otra contraseña). Dejaré los detalles de respuesta sobre esos y otros enfoques para otro día.

La respuesta más simple sería: 2FA es más segura que la autenticación de un factor. El objetivo siempre es cómo hacer que sea más difícil para el atacante hacerse pasar por alguien. A medida que la tecnología evoluciona, las amenazas aumentan constantemente y la seguridad debe encontrar formas nuevas e innovadoras para bloquear estas amenazas. Uno de los factores clave en una estrategia de seguridad exitosa es la adhesión del usuario a la estrategia. Las tecnologías móviles pueden ser el mejor aliado de cualquier estrategia de seguridad de protección de identidad.

Los fundamentos detrás de la seguridad de la identidad es la combinación de diferentes elementos llamados factores para garantizar la validez de la identidad de un individuo. Estos factores deben ser algo que usted sepa (lógico), algo que sea (biometría) y algo que tenga (dispositivo físico). Por lo tanto, combinar 2 de 3 elementos se considera una seguridad mínima en la actualidad. Para responder a esta pregunta depende realmente de cuál de los 3 elementos se combinan.

Quien eres en sí mismo se considera el más seguro. Seguramente puede relacionarse con estas películas de misión imposible donde Tom Cruise se disfraza y tiene que modificar su voz para que coincida con la de otra persona y penetrar en lugares altamente seguros. Nada es 100%, pero ¿cuáles son las probabilidades de que Tom quiera hacerse pasar por ti? Es por eso que ahora nos referimos a dos factores como la combinación de un elemento simple combinado con algo que usted dice un teléfono celular.

¿Se puede considerar el teléfono celular como un elemento suficientemente seguro en el proceso de autenticación de dos factores? Bueno, realmente depende de cómo se use. Hay casos de piratas informáticos que redirigen mensajes SMS de usuarios populares de redes sociales y bancos para capturar el secreto destinado a proteger la identidad del individuo.

Hay otros casos en los que se ha demostrado que los piratas informáticos podrían explotar una falla inherente en las comunicaciones de los teléfonos celulares (SS7) y redirigir las llamadas telefónicas. Entonces, la realidad es que, dado que todo es posible, y decir que está siendo atacado, hay formas de eludir los mecanismos de seguridad establecidos. Para Joe y Jane comunes, dos factores (2FA) serán mucho mejores y más seguros que simplemente usando su nombre de usuario y una contraseña que nunca cambia.

La autenticación de dos factores es un proceso de verificación en dos pasos que combina cualquiera de los dos posibles parámetros de autenticación, incluida la posesión, el conocimiento, la genética y la ubicación.

La autenticación multifactor es un proceso de verificación de varias capas, que identifica a un usuario mediante la autenticación de dos de los cuatro parámetros principales: posesión (algo que tiene el usuario), conocimiento (algo que el usuario sabe), genética (algo que el usuario hereda genéticamente) y ubicación para acceder a un sistema.

Folleto PDF para las últimas ideas

Los parámetros de posesión pueden incluir diferentes cosas, como tokens de software y hardware, incluidos llaveros, OTP y más. Los parámetros de conocimiento pueden incluir cosas como nombre de usuario y contraseña, PIN y respuestas a preguntas secretas. Los parámetros genéticos pueden incluir cosas como huellas digitales, biometría facial y escaneo de retina.

La autenticación de dos factores es lo suficientemente segura como para proteger los activos, ya sean dispositivos de red, dispositivos de seguridad, sistema operativo host, aplicación, etc. No es necesario usar la autenticación de dos factores para todos los dispositivos de la red. La mayoría de las organizaciones usan 2FA para proteger sus dispositivos críticos o los usuarios dicen usuarios de VPN, aplicaciones remotas, servidores críticos, ACS, etc.

Hay tres parámetros mencionados a continuación, y dos de estos parámetros se utilizarán en 2FA:

Algo que tiene : incluye tokens (hardware, software y bajo demanda)

Algo que eres : basado en características físicas, principalmente incluye sistemas biométricos y el método más seguro de autenticación

Algo que sabes : incluye pin

Ahora, puede usar dos parámetros o factores, depende de su presupuesto y del nivel de seguridad que necesita para un sistema específico. Como ejemplo, digamos, para proteger al usuario de VPN, necesita un pin + token (2FA), sin embargo, para proteger un documento de alto secreto guardado en una caja fuerte, necesita un biométrico y un pin.

Si está comparando 2FA con una contraseña, definitivamente es difícil descifrar 2FA que una contraseña normal.

en general, 2FA es mejor que 1FA, pero depende claramente de la tecnología / producto específico involucrado. Al igual que no todos los autos son iguales. Las OTP son mejores que las contraseñas de vainilla, pero no son a prueba completa como muchos suponen.

2FA puede proteger contra ataques de ingeniería social (ej: phishing, pharming) o malware (ej: keylogger). Cuán efectivo es realmente depende del 2FA o 3FA específico. Hay muchas opciones con diferentes grados de seguridad, costo y conveniencia.

No soy fanático de recomendar contraseñas largas y complicadas como hacen muchos sitios web y empresas. Es muy difícil para el usuario recordar estas contraseñas largas y complicadas (por ejemplo, uso de mayúsculas, números y signos de puntuación), especialmente si es obligatorio cambiar cada mes. El usuario terminará escribiendo las contraseñas largas o, peor aún, usará la misma contraseña en todas partes.

Los ataques de fuerza bruta contra contraseñas no son el método de ataque preferido. En estos días se trata de más ataques de phishing o keylogger. así que la longitud de la contraseña es relativamente menos importante (PD: no estoy sugiriendo contraseñas de 2 letras).

En mi opinión, el tipo de autenticación elegido debe equilibrar la conveniencia, la seguridad y el costo. Uno no necesita 2FA siempre. Depende de lo que esté protegido.

El mayor problema con la implementación de 2FA o 3FA es la inscripción / registro. A menudo este es el eslabón débil. También hay muchos otros desafíos con la implementación de 2FA.

A medida que los ciberdelincuentes se vuelven inteligentes e ingeniosos todos los días, nuestras contraseñas son cada vez más improductivas para mantener alejados a los intrusos.

El hecho es que ahora la práctica mayormente obligatoria de incluir un signo y una letra mayúscula en su contraseña le permite tener un cierto grado de mayor refuerzo contra el acceso innecesario a su información confidencial, incluso los hackers más estándar tienen acceso a software y hardware que pueden descifrar con una simplicidad perturbadora, además de ser capaz de engañar a los usuarios con un correo de phishing que cualquier ciberdelincuente por debajo del estándar puede hacer.

La autenticación de dos factores agrega una capa adicional de seguridad a la autenticación de factor único habitual a la que muchos de nosotros estamos acostumbrados. Hoy en día, los piratas informáticos están más que bien equipados para decodificar contraseñas en unos segundos, incluso la contraseña inteligente que tiene para su cuenta de correo electrónico donde empleó un 3 en lugar de un e está en peligro.

Funciona configurando otro atributo en el procedimiento de inicio de sesión de contraseña convencional, que es difícil de duplicar para los piratas informáticos. Esto podría significar la acumulación de algo como un llavero, una aplicación para su teléfono inteligente o una verificación de huellas dactilares, incluso algo que usted sabe con algo que involucra.

Las ventajas de este tipo de sistema son claras, ya que dificultan que incluso los hackers más excelentes tengan acceso remoto a sus sistemas, decepcionando a la mayoría de los que a menudo piensan en un ataque. Sin embargo, no use esto como una razón para volverse indolente cuando se trata de desarrollar una contraseña, crear una contraseña poderosa es tan importante como un elemento que siempre desalienta a los ciberdelincuentes.

Si considera que la seguridad proporcionada por los factores de autenticación es igual, entonces 2fa es el doble de seguro que 1fa. Sin embargo, la realidad es algo matizada.

Asumiendo un coupé de cosas …
1. La plataforma de autenticación está libre de todas y cada una de las vulnerabilidades.
2. La implementación de 2fa es criptográficamente sólida y no está sujeta a fugas o repeticiones.

Un esquema de autenticación de un solo factor: algo que usted sabe (contraseña) puede ser atacado por este factor que es compartido por otra plataforma de autenticación vulnerable, o que de otra manera se lo revele a un atacante. Agregar el segundo factor, algo que tiene, mejora la seguridad de la siguiente manera.

1. Impide el uso de una contraseña filtrada.
2. Evita fugas del segundo factor. Esto solo puede ser filtrado por el atacante ‘tenerlo’ ellos mismos.
3. Es resistente a la repetición de ataques mediante el uso de una frase de contraseña de un solo uso criptográfica.

Es difícil obtener un grado matemático en el que 2fa sea más seguro que un factor único, por lo que solo diré “mucho más”.

Aquí está mi cerebro volcado sobre esta pregunta:

1) En primer lugar, debemos tener claro que la autenticación de dos factores (2FA) es un término muy genérico. Existen muchos mecanismos de autenticación diferentes que se denominan correctamente esquemas 2FA pero son muy diferentes cuando se examinan los detalles.

2) ¿Qué se entiende por “seguro”? ¿Y con qué lo estamos comparando?

2.1) Para responder a esto, debemos acordar cuál es el propósito de 2FA. Este es el que usaré : 2FA es un mecanismo que permite a los usuarios identificarse en un sitio / aplicación.

2.2) Compararemos con la forma estándar actual de iniciar sesión / autenticar que está utilizando un mecanismo simple de inicio de sesión / contraseña.

2.3) La seguridad de un mecanismo en particular puede juzgarse determinando qué tan bien evitan el ataque de seguridad de “un atacante que roba sus datos de autenticación”
2.3.1) 2FA cuando se implementa correctamente es muy efectivo para minimizar las posibilidades de que un “atacante robe sus datos de autenticación”
2.3.2) Cuando se utiliza un mecanismo simple de inicio de sesión / contraseña, es muy vulnerable a “un atacante que roba sus datos de autenticación”.

2.4) ¿Qué diferencia a 2FA del inicio de sesión / contraseña estándar?
2.4.1) Dentro de un esquema 2FA, un usuario tiene dos o más factores que necesita presentar en un Sitio / Aplicación para iniciar sesión / identificarse.

Hay 3 tipos de factores para elegir:

• Algo para tener , que siempre se relaciona con un dispositivo físico de algún tipo. Un token, tarjeta inteligente, teléfono móvil, computadora específica, etc.

• Algo que sabes . Como una contraseña, secreto, respuestas a preguntas personales, etc.

• Algo que eres Un factor biológico como huella digital, escaneo del iris, vena del dedo, etc.

2.4.2) Para que un esquema 2FA se clasifique como un esquema de autenticación “fuerte”, uno de los factores DEBE ser un factor de “algo que tiene”.
2.4.2.1) El factor “algo que tienes” es, con mucho, el más importante porque (si se implementa correctamente) se relaciona con un solo dispositivo físico en el mundo. Para robar los detalles de autenticación de alguien, un atacante debe robar u obtener acceso a este dispositivo físico.

2.4.3) No todas las implementaciones del factor “algo que tienes” son iguales.

Una medida de cuán segura es la implementación particular de “algo que tiene” depende de cuán clonable sea el dispositivo “algo que tiene”:

• Si un atacante obtiene acceso ilegal a un sitio / servidor de aplicaciones, ¿puede obtener suficientes detalles para clonar a los usuarios los factores “algo que usted tiene”?

• Si un atacante obtiene acceso al dispositivo “algo que tiene” de un usuario específico durante un período de tiempo, ¿puede clonar el factor “algo que tiene”?

2.4.3.1) PERO todos son mejores que los esquemas que no son 2FA (es decir, LogonId / contraseña)

• y la mayoría en realidad requeriría un ataque físico contra un usuario para robar el dispositivo asociado con su factor “algo que tienes”

• y esto cambia el campo de juego masivamente en términos de los tipos de ataque que los atacantes pueden lanzar para robar los detalles de autenticación de las personas.

3) Cuando existe un mecanismo 2FA, la mayoría de los atacantes no considerarán lanzar un ataque de “robo de sus detalles de autenticación”.

3.1) Simplemente no vale la pena. Tendrían que apuntar a individuos solteros y lanzar un ataque físico contra ellos.

3.2) ¡ESTO NO SIGNIFICA QUE USTED O EL SITIO ESTÁN SEGUROS!

3.3) Hay muchos otros tipos de ataques de seguridad que son posibles que permiten a los atacantes obtener acceso a su cuenta sin conocer sus detalles de autenticación.

3.4) Los Sitios / Aplicaciones deben tener contramedidas de seguridad adecuadas contra todos estos otros ataques de seguridad antes de que el Sitio / Aplicación pueda clasificarse totalmente como seguro.

3.5) Sin embargo, si su proveedor de sitio / aplicación proporciona mecanismos 2FA, entonces hay una buena posibilidad de que comprendan la seguridad del canal digital y lo protejan adecuadamente a usted y a sus datos.

El TFA es tan seguro como los factores elegidos.

Hay tres tipos de factores posibles:

• algo que el usuario sabe (contraseña, PIN, apellido de soltera de la madre, …)
• algo que el usuario tiene (OTP en el teléfono móvil, un token)
• algo usuario es (biometría)

El TFA verdadero requiere que se elijan 2 tipos de factores distintos.
Por ejemplo, si elegimos la contraseña y el PIN de TFA, puede verse fácilmente comprometido cuando alguien ingresa a Excel con contraseña.
En el lado opuesto, si elegimos Contraseña y PIN de una sola vez, el atacante debe obtener la excelencia del usuario Y el teléfono móvil.

Hay más cosas a considerar al hablar de la autenticación de dos factores.

Depende de si se trata de una autenticación real de dos factores (no solo de esas cosas de verificación de dos pasos) o incluso de un segundo canal, lo que significa transmitir el segundo factor a través de una conexión / canal diferente.

Por lo tanto, 2fa basado en token puede ser agradable, pero le falta en el segundo canal porque ingresará su otp, sms o segundo factor secreto en el mismo sitio web en la misma computadora / dispositivo que lo hizo con el primer factor.

Tan seguros como son los sistemas internos de la empresa.

Para romper la autenticación de dos factores, el usuario malintencionado debe tener su contraseña y un segundo método de autenticación o debe piratear la base de datos donde se almacena su información.

2Fa es un excelente mecanismo de seguridad adicional.

El 2FA más común es algo que sabes y algo que tienes. Como tu tarjeta de crédito. La tarjeta no se puede usar en un cajero automático sin el PIN, y el PIN es inútil sin la tarjeta.
Es por eso que es más fácil usar mal las tarjetas de crédito en línea. No es necesario tener la tarjeta física para usarla.

@Brendan J. Wilson lo resume muy bien.

Solo tenga en cuenta que muchas personas piensan que OTP es igual a 2FA. Este no es el caso. 2FA podría implementar OTP, pero necesariamente.