می گویند یک کاربر از یک برنامه چت رایج مانند Telegram، Signal، Whatsapp، Ricochet استفاده می کند.
دستگاه او هک می شود و کلید خصوصی به سرقت رفته است. برای استفاده از نرم افزار PGP با استفاده از ایمیل، می توانید از دو عامل تأیید اعتبار استفاده کنید و به عنوان مثال کلید yubikey را ذخیره کنید. آیا چیزی مشابه با آن برنامه های چت ممکن است، به عنوان مثال دستگاه 2FA باید در همه زمان ها متصل شود و بدون آن چت امکان پذیر باشد؟
احراز هویت – اس ام اس OTP به عنوان 2FA – آیا باید اس ام اس در اس ام اس برای تایید کاربر وجود داشته باشد؟
چند بار من پیاده سازی SMS 2FA را هنگامی که یک وب سایت نشان می دهد "sms id session" (به عبارتی، 8 رقمی نشانگر) را بلافاصله پس از ارسال اس ام اس به کاربر همراه با OTP فوری نشان می دهد. اس ام اس همراه با OTP (به عنوان مثال، 4 رقم) و شناسه اس ام اس (8 رقمی).
پس از آن کاربر باید شناسه session id اس ام اس در اس ام اس را در UI وب سایت و تنها پس از آن OTP را وارد کنید. اگر اسم شناسه جلسه مطابقت نداشته باشد، کاربر باید متوقف شود و از ورود OTP جلوگیری کند.
تعجب این نوع گردش کاری است که به دلایل امنیتی ساخته شده است؟ و تأیید اسناد session id از برخی از حملات محافظت می کند
یک مثال از چنین گردش کار: webmoney.ru
تأیید هویت – کدام نوع حملات توسط 2FA / MFA در بخش صنعت کاهش می یابد؟
من می خواهم درک نقش واقعی تأیید هویت 2 عامل در سیستم های کنترل صنعتی مانند SCADA / SmartGrid با زیرساخت های ویندوز AD. به طور خاص من در مورد موارد عملیاتی علاقه مند هستم: هنگامی که اپراتورها / مهندسان دسترسی به ایستگاه های کاری / کنسول های HMI.
- کدامیک از معیارهای 2FA این است که کارتهای هوشمند جایگزین شوند؟
- هدف اصلی اجرای 2FA چیست؟ مقررات، فاکتور انسانی یا کنترل امنیتی واقعی.
- چه نوع تهدیدها / حملات توسط کنترل 2FA به عنوان کنترل امنیتی کاهش می یابد؟
هر گونه بازخورد از یک متخصص در زمینه، قدردانی خواهد شد. با تشکر