2 2FA/MFA和会议管理

Question

背景

最近观察到的研究人员报告了与这样一种情况有关的错误:一旦初级会话启用了2FA/MFA，网站就不会使第二(单独)活动会话失效。

场景

• 假设user1 on website.com禁用了2FA。
• user1登录到两个单独的会话
• user1在一个主会话中启用2FA
• user1重新加载辅助会话，以查看辅助会话是否无效

我的大脑

虽然我确实理解了它背后的逻辑，但我只是不认为它是一个有效的安全漏洞，即使次要会话没有失效。

我是不是漏掉了什么？也许是不同的PoV？

Answer 1

我可以看到，在更改身份验证设置(更改密码/安装2FA等)时，这是一种很好的做法。关闭所有的会议，但我没有看到任何实际世界的安全好处。

我认为更重要的是确保Logout适用于所有会话，而不仅仅是所涉及的会话。这意味着作为一个关闭所有会议的机制，并应据此工作。