I vecchi telefoni sono più sicuri / sicuri / sicuri quanto i moderni smartphone quando si tratta di token di autenticazione / conferma?
L'SMS è crittografato?
Da una prospettiva OpSec, direi che un secondo telefono dedicato (stupido o intelligente) è una buona idea se si considera il telefono dedicato esattamente come questo: dedicato a un caso d'uso preciso.
Riduci al minimo la superficie di attacco perché sarai meno incline agli attacchi trasmessi dal Web e aumenterai leggermente la tua sicurezza, sebbene attraverso l'oscurità (del tuo numero di telefono bancario). Tuttavia, tutto questo dipende da come gestisci il tuo secondo telefono.
Espandere su OpSec del secondo telefono, con l'input di @schroeder e @ ste-fu:
Riguardo alla tua seconda domanda, ecco una risposta eccellente e approfondita sull'intercettazione / crittografia SMS.
Come per la maggior parte delle cose, dipende. Per l'autenticazione del fattore SMS 2 la risposta è - non proprio
La rete / telco che trasmette i dati SMS è la stessa sia che si tratti di uno smart phone o di un telefono stupido. Gli operatori di call center che ottengono l'ingegneria sociale possono consentire acquisizione del numero pertinente o della rete effettiva < a href="https://www.theregister.co.uk/2017/05/03/hackers_fire_up_ss7_flaw/"> possono essere violati e gli SMS intercettati .
Se disponevi di un account particolarmente sensibile, l'utilizzo di un telefono stupido con un numero SIM / telefono unico per quell'unico account renderebbe molto più difficile per quell'account, ma non appena inizierai a utilizzare lo stesso numero per tutto il tempo, rischi che il numero venga associato a tutti i tuoi account.
Il NIST ha pubblicato alcune indicazioni che dicono che SMS 2FA è stato deprecato anche se hanno fatto un passo indietro
L'uso di un telefono stupido evita molti problemi di sicurezza presenti sugli smartphone. Considero uno smartphone più un computer tascabile, con tutte le vulnerabilità di un computer desktop.
L'uso di un vecchio telefono solo per ricevere token protegge il token a riposo , perché non ci sarà alcun programma in esecuzione in grado di intercettare il token e inviarlo altrove. Ma non proteggerà il token in transito .
Siccome il tuo telco probabilmente non è sicuro, il token può essere intercettato mentre è in transito, il tuo telco può essere ingannato e trasferire il tuo servizio a un altro utente senza molte validazioni ( SIM swap attack ). I commercianti di Crypto sono solitamente bersagli di questo attacco.
Se possibile, non utilizzare SMS per ricevere token. La mia banca può inviare token o ottenere un numero da un'app di autenticazione. Ho usato quest'ultimo.
Leggi altre domande sui tag mobile sms multi-factor phone