Google richiede prompt più sicuro dell'autenticatore per la verifica in due passaggi?

13

Suppongo che l'app di autenticazione sia più sicura degli SMS perché nell'app non ci sono dati in transito dopo aver configurato il telefono. Ora, Google sta spingendo i messaggi del telefono in sostituzione dell'app di autenticazione. È più sicuro, considerando che implica dati in transito?

    
posta guest 15.12.2016 - 22:22
fonte

2 risposte

7

Google sta usando le notifiche push per quel servizio, presumo. In questo modo la sicurezza equivale approssimativamente a un MFA basato su SMS. Come hai sottolineato, entrambi offrono l'opportunità a un utente malintenzionato di intercettare un codice di autenticazione destinato a te o di trovare un modo per convincere Google a inviare il codice direttamente al tuo telefono.

L'analisi della sicurezza di un sistema basato su notifiche push rispetto a un sistema basato su SMS sarà quindi all'altezza delle specifiche del protocollo di trasferimento (ovvero è più facile intercettare il traffico SMS rispetto alle notifiche push o viceversa). Questa è la domanda interessante e quella a cui non so rispondere

Tuttavia, nessuno dei due sarà molto più sicuro dell'altro, dati i limiti intrinseci di un metodo di autenticazione basato sulla rete per "qualcosa che hai". La differenza tra loro e un'app HOTP / TOTP, o un dispositivo MFA hardware, è molto di più, e a sua volta la differenza tra l'utilizzo di uno di questi metodi e l'utilizzo dell'autenticazione del fattore singolo è ancora più grande. Quindi, da una prospettiva pratica, penso che la domanda, anche se interessante, non contenga: qualsiasi forma di MFA è meglio di non averne affatto, e se ti interessa davvero della tua sicurezza, dovresti essere utilizzando un secondo fattore non basato sulla rete.

Direi che la ragione principale per cui Google sta implementando questo servizio non è per una maggiore sicurezza su SMS 2FA, ma per la facilità d'uso (il che significa che è più probabile che le persone lo usino invece di rinunciare completamente a MFA).

    
risposta data 15.12.2016 - 23:24
fonte
2

Ci sono rischi intrinseci coinvolti in entrambi i metodi di 2-Factor-Authenticantion che menzioni - l'app Authenticator e gli SMS di Google. La determinazione del livello di sicurezza non sarà in bianco e nero, ma dipenderà da quali rischi saranno più accettabili per te e per il tuo caso d'uso.

Tuttavia, per rispondere in modo specifico alla tua domanda: "È più sicuro, considerando che implica i dati in transito ?" - No, non lo è.

I metodi SMS di 2FA sono suscettibili a ciò che è noto come 'SIM Swap' attacco. Gli aggressori che hanno utilizzato il phishing e altri attacchi di tipo social-engineering per ottenere informazioni personali sulle vittime - inclusi i dettagli bancari - (oltre a estrarre i dettagli liberamente dai social media) convincono il fornitore di servizi mobili a disattivare la SIM corrente e attivarne uno negli hacker possesso. Tutti i nuovi SMS vengono quindi inviati all'attaccante, inclusi gli SMS 2FA, in testo normale.

Ci sono ancora pro e contro sia per l'applicazione che per gli SMS 2FA - questo articolo li riassume abbastanza bene .

Personalmente raccomanderei l'utilizzo dell'autenticazione basata su applicazioni il più possibile e aumentando la sicurezza personale del mio dispositivo che controlla tale Authenticator.

    
risposta data 15.12.2016 - 22:58
fonte

Leggi altre domande sui tag