Джанго CSRF против 2FA

0

Я использую подрядчика для веб-разработки и как часть безопасности панели администратора, он хочет внедрить CSRF.

Я никогда не использовал CSRF, но несколько веб-сайтов используют 2FA. Он сказал, что CSRF позаботится о безопасности, и мне не нужно 2FA.

Я не могу найти статьи, связанные с сравнением CSRF vs 2FA. Не могли бы вы прокомментировать плюсы и минусы Django CSRF против 2FA?

  • 0
    Для чего нужен понижающий голос? Можете ли вы добавить комментарий, так как в моем мире это законный вопрос.
  • 3
    Если это то, что они говорят, я бы не поверил, что они получили первое представление о безопасности.
Показать ещё 1 комментарий
Теги:
csrf
two-factor-authentication

1 ответ

3
Лучший ответ

Вы не найдете статей, сравнивающих эти два, потому что они являются полностью ортогональными понятиями.

Защита кросс-сайта (CSRF) - это основное требование безопасности для любого приложения, которое использует файлы cookie для управления сеансом. Злоумышленник может обмануть браузер-жертву, чтобы отправить поддельный запрос, который будет использовать куки-жертвы для аутентификации запроса. Защита CSRF обнаруживает и отклоняет эти поддельные запросы. Невыполнение CSRF-защиты является серьезной проблемой безопасности.

2FA добавляет дополнительный шаг для входа в систему. Если один из факторов (например, пароль) скомпрометирован, злоумышленник все еще не может войти в систему без второго фактора. Даже если сеанс не может быть скомпрометирован атаками CSRF, реализация 2FA повысит безопасность ваших учетных записей пользователей.

Защита CSRF никоим образом не заменяет 2FA.

Поделиться

Ещё вопросы

Сообщество Overcoder
Наверх
Меню