نوشته‌شده در

آسیب پذیری – 2FA / MFA و مدیریت جلسه

سابقه و هدف

محققان اخیراً گزارش كردند كه اشکالات مربوط به وضعیتی را نشان می دهند كه یك وب سایت جلسات فعال ثانویه (جداگانه) را باطل نمی سازد ، زیرا 2FA / MFA در جلسه اولیه فعال شود.

سناریو

  • را در نظر بگیرید user1 در site.com دارای 2FA غیرفعال است.
  • user1 وارد دو جلسه جداگانه می شود
  • user1 2FA را در یکی از جلسه های اولیه
  • user1 مجدداً جلسه دوم را بارگیری می کند ، تا ببیند جلسه ثانویه انجام می شود یا خیر
    بی اعتبار

مغز من

اگرچه منطقی راجع به آن می گیرم ، حتی اگر جلسه ثانویه باطل نشود ، آن را به عنوان یک اشکال امنیتی معتبر نمی دانم. آیا من اینجا چیزی را گم نمی کنم؟ شاید یک PoV متفاوت!

نوشته‌شده در

چند فاکتور – دستگاه های پایه ای به طور ذاتی از MFA نیستند؟

در مدل MFA درک می شود که عوامل متعددی از خارج از فرآیند تأیید هویت خود است. دیگر فرآیندهای تأیید هویت به طور ذاتی MFA (خود به اضافه اعتبار کاربر) است.

بنابراین، به لپ تاپ، خود را به عنوان یک عامل محسوب نمی کند. فاکتورهای خارجی ، مانند بیومتریک، نشانه ها، کد های یک بار و غیره وجود دارد.

نوشته‌شده در

تأیید هویت – کدام نوع حملات توسط 2FA / MFA در بخش صنعت کاهش می یابد؟

من می خواهم درک نقش واقعی تأیید هویت 2 عامل در سیستم های کنترل صنعتی مانند SCADA / SmartGrid با زیرساخت های ویندوز AD. به طور خاص من در مورد موارد عملیاتی علاقه مند هستم: هنگامی که اپراتورها / مهندسان دسترسی به ایستگاه های کاری / کنسول های HMI.

  • کدامیک از معیارهای 2FA این است که کارتهای هوشمند جایگزین شوند؟
  • هدف اصلی اجرای 2FA چیست؟ مقررات، فاکتور انسانی یا کنترل امنیتی واقعی.
  • چه نوع تهدیدها / حملات توسط کنترل 2FA به عنوان کنترل امنیتی کاهش می یابد؟

هر گونه بازخورد از یک متخصص در زمینه، قدردانی خواهد شد. با تشکر