Общая безопасность пользователя - PullRequest
Новая
       70

Общая безопасность пользователя

0 голосов
/ 22 мая 2018

Я просто хочу знать, может ли наличие 2FA на вашем логине означать, что вам не нужно беспокоиться об этом, если кто-то украдет ваше имя пользователя и пароль?

Я знаю, что есть проблема, если кто-то укралваш телефон, и вы можете получить доступ к приложению аутентификации, как Google Authenticator или Microsoft Authenticator, и просто войти в приложение и прочитать сгенерированные коды.Но какова вероятность того, что кто-то на самом деле сможет получить доступ к вашему телефону и получить доступ к такому приложению?

Я использую 2FA в большинстве услуг, которые я использую, потому что я чувствую себя в большей безопасности.Но стоит ли реализовывать это в ваших собственных сервисах, если ваша система шифрования не так хороша?Будет ли критично, если кому-то удастся взломать мой сервис и прочитать все имена пользователей и пароли в гипотетической ситуации, когда все равно используют 2FA и уникальные пароли?

1 Ответ

0 голосов
/ 22 мая 2018

Несколько мыслей:

  • Безопасность имеет тенденцию быть лучше, когда ее больше "слоев".Сочетание имени пользователя и пароля является одним из таких слоев.2FA это другое.Добавление 2FA, без сомнения, улучшит вашу безопасность, но вы все равно должны стараться сохранить в секрете свои имя пользователя и пароли. Подумайте, что произойдет, если кто-то украдет ваш телефон, но не сможет получить ваш пароль.Используйте оба.
  • Связанные: вход в систему - не единственная угроза;информация об учетной записи слишком: что, если пользователь не желает, чтобы он знал, что у него есть учетная запись в вашей системе?Если кто-то может получить доступ к вашей базе данных имен пользователей и паролей, и данные будут опубликованы, весь мир узнает, кто ваши пользователи;возможно, это не критично в вашем случае, но это может быть в некоторых других случаях , и в любом случае это хороший принцип.Так что старайтесь держать в секрете как имена пользователей, так и пароли, если возможно .
  • Я понимаю, что вы уже знаете это, но ваша гипотетическая ситуация просто гипотетическая.Вы никогда не должны предполагать, что все пароли вашего пользователя будут уникальными для вашего сервиса.Некоторые пользователи будут делать глупости.Возможно, это не ваша вина или ваша ответственность, но все же считается хорошей практикой делать все возможное, чтобы помочь им оставаться в безопасности.
  • Если вы знаете, что ваша система шифрования " не такхорошо", тогда вам, очевидно, следует попытаться улучшить его.
  • 2FA может не всегда работать или может не подходить для всех во всех случаях.Если это не критично для вашего сервиса, вы можете рассмотреть возможность отказа от него.Для некоторых клиентов принятие небольшого большего риска может стоить небольшого уменьшения «хлопот» при входе в систему. Для других эта небольшая «стычка» может быть незначительной ценой для лучшей безопасности.В любом случае вы должны предложить 2FA в качестве возможного улучшения безопасности, а не в качестве оправдания слабой безопасности в других областях .
...