Posílání hesla stejným kanálem jako OTP není stejně bezpečné jako plnohodnotně implementovaná dvoufaktorová autentizace. Z toho důvodu bych toto nazýval spíš jeden a půl faktorovou autentizací.
Podstatně bezpečnější je statické heslo vyžadovat pro samotné vygenerování OTP v bezpečném HW tokenu. Potom nehrozí jednoduchý odposlech statického hesla a degradace na jednofaktorovou autentizaci.
Naprosto nechápu, proč autor článku popisuje správně implementovanou dvoufaktorovou autentizaci jako kuriozní kombinaci. Využití statického hesla spolu s OTP doporučuje např. i RFC 4226 a opravdu to má smysl - dvoufaktorová autentizace zabraňuje neutorizovanému přístupu v případě kompromitace jediného autentizačního faktoru. Díky tomu není možné po odcizení (HW či SW) tokenu / mobilního telefonu přistupovat do DS oběti. Co je na tom kuriozní? Že to české banky s SMSkama dělají špatně? BTW, pro prolomení samotného SMS OTP (a.k.a mTAN) není třeba telefon přímo ukrást, stačí zrealizovat SIM Swap Fraud.
ČLÁNKY DO MAILU