من سابقه تئوری 2FA را نمی دانم ، بنابراین می خواهم از اینجا بپرسم.
من قبلاً از دو برنامه 2FA استفاده کردم که شامل Duo Mobile و Steam Mobile (گارد) بودند.
با باز شدن Duo ، نشانه های شما را مطابق آنچه انتظار دارید نمایش داده می کند ، اما با Steam نشانه گارد شما مرطوب تر نمایش داده می شود که وارد آن شده اید یا خیر. رفتار گارد توجه من را جلب کرد زیرا انتظار داشتم ابتدا برای دیدن آن نیاز به ورود به سیستم داشته باشم ، زیرا این کد بر خلاف با Duo که سرویس ها برای استفاده ثبت شده اند به حساب من پیوند خورده است. گفته می شود ، Duo می تواند از یک رمز عبور اصلی (a la LastPass) استفاده کند ، بنابراین از نشانه ها نیز محافظت کند.
بنابراین سوال من این است که آیا عملکردهای پشت 2FA (برنامه های تلفن همراه به طور خاص) در نظر دارند که آیا کاربر باید در برنامه 2FA احراز هویت شود؟ آیا به نشانه ها دسترسی دارید؟
نظریه من این است که سطح امنیتی همان SMS 2FA است ، که در آن شما می توانید فرض کنید فقط کاربر واقعی می تواند به نشانه ها دسترسی داشته باشد زیرا آنها پین صفحه قفل گوشی را می شناسند. در این سیستم ، تلفن احراز هویت می شود و دسترسی منحصر به فرد با دانستن پین صفحه قفل داده می شود. اما با وجود برنامه های 2FA ، برنامه تأییدکننده است ، اما راهی برای ارائه دسترسی اختصاصی ندارد. هر کسی که به برنامه دسترسی داشته باشد (یک تلفن مشترک را تصور کنید که 2+ نفر پین صفحه قفل را می شناسند) می توانند به نشانه ها دسترسی پیدا کنند.
