Vlákno názorů k článku Datové schránky: přihlašování už i s jednorázovými hesly od Queeg 500 - Naprosto nechápu, proč autor článku popisuje správně implementovanou...

Naprosto nechápu, proč autor článku popisuje správně implementovanou dvoufaktorovou autentizaci jako kuriozní kombinaci. Využití statického hesla spolu s OTP doporučuje např. i RFC 4226 a opravdu to má smysl - dvoufaktorová autentizace zabraňuje neutorizovanému přístupu v případě kompromitace jediného autentizačního faktoru. Díky tomu není možné po odcizení (HW či SW) tokenu / mobilního telefonu přistupovat do DS oběti. Co je na tom kuriozní? Že to české banky s SMSkama dělají špatně? BTW, pro prolomení samotného SMS OTP (a.k.a mTAN) není třeba telefon přímo ukrást, stačí zrealizovat SIM Swap Fraud.

Posílání hesla stejným kanálem jako OTP není stejně bezpečné jako plnohodnotně implementovaná dvoufaktorová autentizace. Z toho důvodu bych toto nazýval spíš jeden a půl faktorovou autentizací.

Podstatně bezpečnější je statické heslo vyžadovat pro samotné vygenerování OTP v bezpečném HW tokenu. Potom nehrozí jednoduchý odposlech statického hesla a degradace na jednofaktorovou autentizaci.