Как решение опираясь на OWASP это периодически спрашивать у юзера сессия которого не вызывает подозрение, а «помнит ли он ответ, а «этот номер телефона все еще ваш?»
Если я правильно понял вашу переписку, то ответ на «2fa с 1 фактором» должен буть следующим: идентификаторы устройства (связка user id, cookie, примерная геолокация, идентификатор установки, разрешение экрана, список контактов к которым вы дали доступ) и являются первым фактором - то чем ты владеешь, второй это как раз ответ на контрольный вопрос - то что знаешь. То есть первый фактор он как бы не явный, пусть это и не совсем корректно реализовывать 2FA таким образом. Такова модель рисков. Но как понимаю автор даже знать то, что требуется не очень желает.
Да так и есть, сканирование периодическое, к сожалению невозможно накупить лицензий качественного сканера на все сетевые устройства (лицензирование у них за количество хостов), это финансово просто нереально. У вас иной подход?
Пока что каждый МИ решает сам как ему организовывать устранение уязвимостей. Не все уязвимости закрываются установкой нового ПО или обновлением старого.
Если речь про Win NT, то да, есть процесс проверки ПО в WSUS.
То есть либо всему интернету доступен сервер либо на него же устанавливать VPN сервер для более безопасного доступа? Или можно арендовать еще один VPN сервер?
Как решение опираясь на OWASP это периодически спрашивать у юзера сессия которого не вызывает подозрение, а «помнит ли он ответ, а «этот номер телефона все еще ваш?»
Ну то есть еще раз: QR код должен быть действителен только для этого устройства, так работает Microsoft Hello for business к примеру.
То есть двухфакторная даухэтапная: 2 фактора: данные устройства (владеешь) + пароль(знаешь)+ответ(знаешь)
Если я правильно понял вашу переписку, то ответ на «2fa с 1 фактором» должен буть следующим: идентификаторы устройства (связка user id, cookie, примерная геолокация, идентификатор установки, разрешение экрана, список контактов к которым вы дали доступ) и являются первым фактором - то чем ты владеешь, второй это как раз ответ на контрольный вопрос - то что знаешь. То есть первый фактор он как бы не явный, пусть это и не совсем корректно реализовывать 2FA таким образом. Такова модель рисков. Но как понимаю автор даже знать то, что требуется не очень желает.
В целом согласен. В статье речь про своих работников.
Если речь про Win NT, то да, есть процесс проверки ПО в WSUS.
Тогда уже WPA3-Enterprise, цель работы была максимально закрыть все риски.
Скорее пасхалки напомнило
Чтобы 2FA запросить оно предварительно должно быть включено. А вообще да странно что банальные угрозы не закрыты.
Наверное, чуть позже и у них будет
То есть либо всему интернету доступен сервер либо на него же устанавливать VPN сервер для более безопасного доступа? Или можно арендовать еще один VPN сервер?