Comments
чтобы многофакторная аутентификация была одноэтапной: пароль и второй фактор должны вводиться в одном поле.

Интересное требование. А я вот в веб-банкинге одном видел, что стало уже наоборот. Сначала вводите телефон. Потом оно видимо проверяет, что есть такой клиент. Тогда уже то поле пропадает, появляется поле для пароля. И самая жуткая для безопасности штука — можно настроить так, что сайт посчитает «Вы зашли из привычного места» и никаких звонков/SMS для подтверждения не будет.
Интересное требование. А я вот в веб-банкинге одном видел, что стало уже наоборот. Сначала вводите телефон. Потом оно видимо проверяет, что есть такой клиент. Тогда уже то поле пропадает, появляется поле для пароля.

Не знаю насколько тот сегмент банкинга, о котором вы говорите, попадает под PCI DSS, но на такой случай у них есть подробное пояснение, чем различается Multi-Factor (многофакторная) и Multi-step (многоэтапная) аутентификация. В этом случае, это явно второе.

И самая жуткая для безопасности штука — можно настроить так, что сайт посчитает «Вы зашли из привычного места» и никаких звонков/SMS для подтверждения не будет.

Абсолютно согласен. Такие настройки упрощают MITM атаки. Например, с помощью известного многим инструмента EvilGinx. При настройке всегда отключаем функцию «Remember me» и подобные. Это, конечно, тратит немного времени пользователя, но оправдывает себя в контексте безопасности.
Функции «запомнить пароль» там конечно нет и в Хроме я вроде как видел сайт банкинга в категории «никогда не сохранять пароли».
Но, по идее иногда все же использовать телефон приходится. Может раз в месяц или просто IP провайдер меняет.
Хороший подарок для злоумышленника. Достаточно заполучить «печеньки» и 2-FA уже не будет препятствием.
P.S. категорически против такой настройки.
...Многофакторную аутентификацию на базе SafeNet можно использовать для защиты веб-сервисов, опубликованных в интернете...
Есть ли такие аналогичные сервисы на русском языке?
Добрый день!
Лично я не встречал, но нас устроил тот факт, что почти весь интерфейс в Safenet кастомизируется и позволяет заменить текст на свой, в том числе на русский.
Если пользователь забыл, какую траекторию выбрал для GrIDSure, то опять-таки самостоятельно может сбросить ее здесь и задать новую

Как в этом случае происходит смена данной траектории? Как осуществляется вход в портал самообслуживания? Я к тому, что может быть злоумышленнику легче будет войти в портал и сменить траекторию, а потом по ней войти.
Зайти на портал можно по токену. Соответственно, если токен потерян/забыт и т.д. зайти у пользователя или злоумышленника не выйдет. А вот отправить запрос на выпуск нового токена можно. Но запрос проходит три уровня подтверждения в самом сервисе, а высылается новый токен непосредственно пользователю.

Поэтому в теории, чтобы сделать подобное, злоумышленнику придётся полностью украсть личность пользователя, да ещё и узнать PIN (обычно используется политика PIN+GridSure), который знает только пользователь, а также убедить 3 лица, ответственных за подтверждение перевыпуска в том, что он не злоумышленник.

В принципе, реально, идеальных систем не существует, но задача не из простых.
Да и функция с порталом опциональна, для бОльшего контроля её можно отключить.
Only those users with full accounts are able to leave comments. Log in, please.