A volte, quando accedo a Google, mi chiede di stampare alcuni codici di backup per il processo di verifica in due passaggi. Questa sembra una grande porta sul retro che rompe l'intero punto della verifica in due fasi per me. Nessuno degli articoli per aiutare Google a risolvere questo problema.
Quali sono le implicazioni sulla sicurezza della stampa dei codici di backup?
Consideralo come se scrivessi la password di accesso su un pezzo di carta perché entrambi hanno la stessa funzione. I rischi ad esso associati sono legati all'accesso fisico al luogo in cui è archiviata la stampa, all'istantanea accidentale (immagini dell'ufficio) e simili, in alcuni casi strani anche una coda di stampa potrebbe consentire di stampare una seconda volta.
Allo stesso tempo, pensa di memorizzare informazioni sensibili in chiavette USB, potresti prendere in considerazione la crittografia dei file o l'intera unità USB, ma sei ancora incline a perderlo.
Anche la spallatura è un rischio, se hai bisogno del pezzo di carta 5 volte al giorno che è 5 volte al giorno, qualcuno può guardarti alle spalle e scrivere un paio di cifre.
Hai ragione nel fatto che questo metodo di autenticazione è meno sicuro, sono sicuro che hanno affrontato uno scenario in cui ciò era necessario, ma direi che a meno che tu non abbia a che fare con quella situazione specifica che sta seguendo i metodi di autenticazione in due fasi è in generale più sicuro . Ad esempio, se utilizzi il telefono per ricevere un token, un utente malintenzionato dovrebbe accedere al tuo telefono e dovrà sbloccare il telefono, il che, sebbene non impossibile, aggiunge un ulteriore livello di complessità.
La principale preoccupazione che vorrei sui codici di backup è che sono troppo brevi. Il codice GA ordinario è di 6 cifre e ogni codice è valido solo per 30 secondi. I codici di backup sono 8 cifre, ma sono buoni per sempre, fino a quando utilizzati.
Un'interpretazione è che 6 o 8 è resistente alle supposizioni quando è accoppiato con la limitazione per-IP dei tentativi, e quella più corta è lunga fino a 6 cifre solo per resistere alla spallina dal telefono del proprietario. Se il codice fosse di quattro cifre, qualcuno potrebbe ricordare l'intera faccenda da un colpo d'occhio e possibilmente accedere nella finestra di 30 secondi su un computer vicino.
Tuttavia, solo 8 cifre per il codice di backup sembrano arbitrariamente avari. Perché non 12 o giù di lì?
Leggi altre domande sui tag authentication