2要素認証の有効な課題は何ですか?
パスワードリセットプロセスを設計する場合:
電子メールアドレスまたは割り当てられたユーザー名は、2要素認証で要求する有効な情報(識別子)ですか?
2要素認証は、一般にパスワードのリセットに対してどのように機能しますか?ユーザーがすでにパスワードを忘れている場合、ユーザーに詳細情報を要求するのはやりすぎではないでしょうか。
モバイル経由でリセットコードを送信し、一意の識別子を送信すると、2要素認証の対象になりますか?
2要素認証または多要素認証は、3つの可能な認証形式に基づいています。
- 秘密と見なされるもの(パスワード)
- 持っているもの(トークン、SMSトークン、カード、...)
- あなたが何か(生体認証)
これら3つのうち2つを組み合わせると、2要素認証と言えます。知っている2つのことを言う(2つのパスワードまたはユーザー名とパスワードなど)IS NOT 2要素認証。
- 識別子としては使用できますが、シークレットとしては使用できません(「パスワード」として使用する場合)。
- パスワードのリセットは、実施されている手順によって異なります。パスワードと同じにすることができます。メールにリセットリンクが表示されます。これは、2番目の要素が変更されるという意味ではありません。パスワードは、認証の別の要素に基づいて変更しないでください(特に、盗難の際に何か持っている場合に適用されます)。
- はい。ただし、トークンが特定の期間のみに制限されるようにする必要があります。