该场景位于公司环境中,未连接到 Internet。前几天,我和我的同事争论电子邮件是否足以成为 2FA 系统中的第二个因素。
我的管理员将通过我们的公司网络登录系统,然后 OTP 将发送到他的电子邮件,他将使用该电子邮件进入系统。
但是我的同事希望将 OTP 发送到手机。我说就算他用手机,他还是要在内网里输入OTP。它不会有太大差异,因为电子邮件服务器也在内部网络中。我还提到丢失手机要容易得多,而电子邮件服务器不会那么容易发生故障,因为它可以冗余运行。
你有什么意见?今天更安全的组织是否更多地依赖手机进行 OTP?
根据定义,2FA 是如果您基于以下两项对用户进行身份验证:
你知道的东西(比如密码)
你有的东西(比如钥匙)
你是什么(生物识别)
我看到人们经常争论电子邮件应该属于哪个类别。尽管许多人认为它属于“您拥有的东西”类别,但我认为它应该属于“您知道的东西”类别,因为它通常只是受密码保护。因此,密码+电子邮件 OTP 并不是真正的 2FA。而且,一个人是否可以使用与系统登录相同的电子邮件密码?
使用密码 + 手机 OTP 将是真正的 2FA(你知道的东西 + 你拥有的东西)
我也不鼓励在这种情况下使用电子邮件。
显然——如果你只在内部使用它——攻击者只能是内部的(或者外部的首先必须变成内部的)。内部的电子邮件流可能比处理 BTS 传递 SMS 更容易嗅探。
但是两种方式都通过不一定安全的通道传递第二个组件(以避免讨论“因素”;-)。
因此,您可能会考虑提供更安全的身份验证方式。您可以通过使用智能手机应用程序、硬件令牌甚至可种子硬件令牌来实现这一点。对于像Yubikey这样的可播种硬件令牌,您是创建用于生成一次性密码的秘密加密密钥的人,而在“预播”硬件的情况下,供应商会这样做。
你可能想看看privacyIDEA,它是一个开源解决方案,支持所有这些类型的令牌、电子邮件、短信、智能手机、硬件、可种子。然后您可以决定哪个系统或哪个管理员需要哪个安全级别。