機密情報を扱うときに、2要素認証をスキップするようにデバイスを覚えておくのは安全で寛容ですか？

この特定のケースでは、私はagainst 2FAを覚えておくことをお勧めします。ほとんどのユーザーはおそらくブラウザにログインとパスワードの保存を要求するため、2FA状態を保存すると安全性の障壁が取り除かれます。

誰かが自分のデバイスを紛失した場合（盗難またはどこかで忘れた場合）、誰でもログインしてすべてをダウンロードするのを止めることはできません。賢明なセッション非アクティブ期限切れタイマー（たとえば15分）を適用し、2FAを覚えていない場合、保存されたログインでもアクセスが許可されません。

一般に、ISO標準は、安全なシステムを構築または構成する方法を明確に指示するのではなく、安全なシステムを生成するプロセスを確立します。それらはその意味で役立つ基盤ですが、特定の機能を提供しない場合があります回答。

リスクアセスメントはすべての利害関係者の間で共有される責任です。設計者（あなたの会社）、データ管理者（政府）、およびデータ主体（関連する管轄区域の英国居住者）はすべて決定に関与する必要があります。第三者を含めることは実際的でないことが多いため、プライバシー担当者やその他の代理人が自分の利益を代表することがよくあります。

一般的で合理的な解決策は、デバイスを毎日認証し、Cookieまたは同等のメカニズムを使用して、1時間、8時間、または24時間以内に再認証を許可することです。個別のアカウント、アイドルロック画面などのワークステーションレベルのセキュリティコントロールを利用して、必要に応じてこれらのセッションへの不正アクセスのリスクを軽減できます。このソリューションは、政府が設計を承認し、ユーザーコミュニティからの基本的なセキュリティ制御を要求する用意があることを意味します。 これは伝達および文書化する必要があります。セキュリティの実装が顧客に受け入れられるまで、妥当性の程度に関係なく「受け入れ可能」ではありません。（これは、受け入れられた設計と適合製品の配送を意味します。 、お客様が確認済み）。

EUでは、GDPRから派生したルールと厳格なペナルティがかなり広く適用されていますが、Brexitが発生しているため、お客様はGDPRに準拠するつもりがない場合があります。 会社や業界によっては、GDPRへの準拠を製品/モジュール/ライブラリの設計に組み込むことをお勧めします。これは、後でEUの顧客を追及するつもりである場合、大きな頭痛の種になる可能性があるためです。

利便性とセキュリティの間には常に議論がありました。システム/アプリケーションを取得するのではなく、不便であることは良いことです。

2要素認証の目的は、ユーザーの正当性を再確認することであり、パラメーターの1つを保存すると、それを使用しないのと同じくらい良いと思います。 2要素認証は、アプリケーションの処理や機密情報の保存に不可欠です。例PCI-DSS、CSAなど。上記の例は、機密性の高い情報の特定のケースです。また、リスクを軽減するために、パラメーター/要素を保存せずに、2要素認証を使用する必要があります。

ISO 27001規格では、リスク評価について説明しているため、2要素を使用するかどうかを推奨していません。コントロールとその深さは、特定されたリスク（この場合は高い）に基づいている必要があります。