Может ли веб-сайт найти дубликаты учетных записей, если обе учетные записи подключены к одному и тому же приложению 2FA?

Question

Может ли веб-сайт найти дубликаты учетных записей, если обе учетные записи подключены к одному и тому же приложению 2FA?

Допустим, у меня есть личная и рабочая учетная запись на веб-сайте, и я использую их строго на разных устройствах и у интернет-провайдера. Если я подключил 2FA для обеих учетных записей к одной учетной записи приложения 2FA, скажем, например, Authy, есть ли у веб-сайта какие-либо шансы обнаружить, что обе учетные записи подключены ко мне явно через приложение 2FA?

PS: Здесь нет конкретного веб-сайта, просто интересно, возможно ли это, прежде чем я рассмотрю возможность использования приложения 2FA.

0

security identity-management

Источник

prashanth 17 май '22 в 20:16

1 ответ

Другие вопросы по тегам security identity-management

Ramhound 17 май '22 в 21:39 2022-05-17 21:39 · Answer 1 · 2022-05-17 21:39

Допустим, у меня есть личная и рабочая учетная запись на веб-сайте, и я использую их строго на разных устройствах и у интернет-провайдера. Если я подключил 2FA для обеих учетных записей к одной учетной записи приложения 2FA, скажем, например, Authy, есть ли у веб-сайта какие-либо шансы обнаружить, что обе учетные записи подключены ко мне явно через приложение 2FA?

Веб-сайт совершенно не знает о том, что вы генерируете 2FA с помощью Authy, или о чем-либо еще об устройстве, сгенерировавшем код 2FA.

Чтобы сделать сценарий еще более понятным, представьте, что вы используете одну учетную запись Authy, установленную на моем Android, и которая подключена к двум учетным записям Twitter. Может ли Twitter узнать, что обе учетные записи Twitter связаны с одним человеком только потому, что оба получают коды 2FA от одной и той же учетной записи Authy с моего Android?

Если у вас есть два аутентификатора, привязанные к одной и той же учетной записи Authy, то они полностью отделены друг от друга. Веб-сайт совершенно не знает, что вы на самом деле используете Authy для обработки кодов. Вы даже можете установить Authy на любое количество устройств.

Я полагаю, что вы путаете термины «аутентификаторы» и «аккаунты», когда речь идет о 2FA, что и стало причиной путаницы.

Неа; Это абсолютно неверно. Любой веб-сайт, предлагающий аутентификацию 2FA, не может определить, как вы генерируете код 2FA, используемый для аутентификации вашей учетной записи. На самом деле я не был смущен.

Кроме того, в вашем вступительном слове предполагалось, что у меня есть два аутентификатора, хотя в моем вопросе я совершенно ясно дал понять, что речь идет о «одной учетной записи приложения 2FA». Именно поэтому я выступил с уточняющим комментарием.

За исключением того, что на самом деле у вас есть два отдельных аутентификатора, они просто связаны с одной и той же учетной записью Authy. У меня есть 20 различных Google Authenticators, синхронизированных между собой (Google Authenticators, Microsoft Authenticators, Last Pass и Authy) на нескольких устройствах.

Я предполагаю, что каждая учетная запись [название веб-сайта здесь] будет иметь собственный Google Authenticator, связанный с одной и той же учетной записью Authy.Вы можете заменить «Google Authenticator» на любой аутентификатор 2FA, который поддерживает соответствующий веб-сайт (и Authy).