Блог

Я пытаюсь реализовать политику безопасности с помощью MFA. В настоящее время пользователям доступен SSPR на основе электронной почты (сброс пароля самообслуживания).

Насколько я могу судить по следующим ресурсам:

• https://cheatsheetseries.owasp.org/cheatsheet/Multifactor_Authentication_Cheat_Sheet.html#resetting-mfa
• https://www.onelogin.com/learn/what-is-mfa

Аутентификация MFA должна требовать как минимум 2 разных фактора, чаще всего знания и владения.

Однако в обоих ресурсах электронная почта указана как «владение» или «что-то, что у вас есть», поэтому, если пользователь может использовать это для сброса своего пароля, не означает ли это, что фактор «знания» можно эффективно обойти? Означает ли это, что я ограничен биометрическим или поведенческим анализом, оба из которых значительно дороже в реализации, чем, например, система TOTP?