Suppongo che l'app di autenticazione sia più sicura degli SMS perché nell'app non ci sono dati in transito dopo aver configurato il telefono. Ora, Google sta spingendo i messaggi del telefono in sostituzione dell'app di autenticazione. È più sicuro, considerando che implica dati in transito?
Google sta usando le notifiche push per quel servizio, presumo. In questo modo la sicurezza equivale approssimativamente a un MFA basato su SMS. Come hai sottolineato, entrambi offrono l'opportunità a un utente malintenzionato di intercettare un codice di autenticazione destinato a te o di trovare un modo per convincere Google a inviare il codice direttamente al tuo telefono.
L'analisi della sicurezza di un sistema basato su notifiche push rispetto a un sistema basato su SMS sarà quindi all'altezza delle specifiche del protocollo di trasferimento (ovvero è più facile intercettare il traffico SMS rispetto alle notifiche push o viceversa). Questa è la domanda interessante e quella a cui non so rispondere
Tuttavia, nessuno dei due sarà molto più sicuro dell'altro, dati i limiti intrinseci di un metodo di autenticazione basato sulla rete per "qualcosa che hai". La differenza tra loro e un'app HOTP / TOTP, o un dispositivo MFA hardware, è molto di più, e a sua volta la differenza tra l'utilizzo di uno di questi metodi e l'utilizzo dell'autenticazione del fattore singolo è ancora più grande. Quindi, da una prospettiva pratica, penso che la domanda, anche se interessante, non contenga: qualsiasi forma di MFA è meglio di non averne affatto, e se ti interessa davvero della tua sicurezza, dovresti essere utilizzando un secondo fattore non basato sulla rete.
Direi che la ragione principale per cui Google sta implementando questo servizio non è per una maggiore sicurezza su SMS 2FA, ma per la facilità d'uso (il che significa che è più probabile che le persone lo usino invece di rinunciare completamente a MFA).
Ci sono rischi intrinseci coinvolti in entrambi i metodi di 2-Factor-Authenticantion che menzioni - l'app Authenticator e gli SMS di Google. La determinazione del livello di sicurezza non sarà in bianco e nero, ma dipenderà da quali rischi saranno più accettabili per te e per il tuo caso d'uso.
Tuttavia, per rispondere in modo specifico alla tua domanda: "È più sicuro, considerando che implica i dati in transito ?" - No, non lo è.
I metodi SMS di 2FA sono suscettibili a ciò che è noto come 'SIM Swap' attacco. Gli aggressori che hanno utilizzato il phishing e altri attacchi di tipo social-engineering per ottenere informazioni personali sulle vittime - inclusi i dettagli bancari - (oltre a estrarre i dettagli liberamente dai social media) convincono il fornitore di servizi mobili a disattivare la SIM corrente e attivarne uno negli hacker possesso. Tutti i nuovi SMS vengono quindi inviati all'attaccante, inclusi gli SMS 2FA, in testo normale.
Ci sono ancora pro e contro sia per l'applicazione che per gli SMS 2FA - questo articolo li riassume abbastanza bene .
Personalmente raccomanderei l'utilizzo dell'autenticazione basata su applicazioni il più possibile e aumentando la sicurezza personale del mio dispositivo che controlla tale Authenticator.
Leggi altre domande sui tag authentication google multi-factor