Come indicato da @Limit nel commento sotto la tua domanda, l'utente malintenzionato dovrebbe prima sbloccare il telefono. Che è un problema Ma non impossibile. Ma per il gusto di argomentare, supponiamo che l'aggressore abbia rubato il telefono in una posizione sbloccata (eri seduto in un bar, controllando su internet, messo giù, girato per parlare con qualcuno, e qualcun altro lo ha fregato per esempio).
Per rispondere in una parola, sì. Questo compromesso è completamente possibile, e in parte perché personalmente provo un leggero disgusto per il modo in cui alcune aziende stanno implementando 2FA. Soprattutto google, che sa per certo che l'utente che utilizza il suo autenticatore sul proprio telefono probabilmente ha anche la sua e-mail sullo stesso dispositivo.
La trinità di sicurezza dovrebbe essere questa:
- Qualcosa che sei (nome utente, impronta digitale, retina)
- Qualcosa che conosci (password, key-file, altri dati blob)
- Qualcosa che hai (generatore OTP, Keyfob, yubikey)
Il problema è che l'utente desidera praticità e questo rappresenta sempre una minaccia per questo modello. Il fattore chiave nel modo in cui la trinità funziona è che queste cose non dovrebbero sovrapporsi.
- non utilizzare il tuo nome utente come password
- non utilizzare lo stesso file-chiave per la tua "password" come chiave pubblica del tuo yubikey (o peggio privato)
- ecc ...
Tuttavia, questa linea sta diventando sempre più sfocata, poiché molti utenti desiderano che tutte le attività relative alla tecnologia vengano aggregate su un unico dispositivo. Crea la situazione in cui una persona trasforma una password (qualcosa che conosci) in essenzialmente un dispositivo che completa automaticamente la password quando richiesto. Effettivamente trasformandolo in qualcosa che hai da quando non hai più bisogno di conoscerlo, semplicemente possiedi il dispositivo.
Questa situazione è aggravata dal fatto che lo stesso dispositivo ospita anche il meccanismo di autenticazione del software che dovrebbe trasformare il dispositivo in una sostituzione per i telecomandi.
Ciò che in definitiva questo crea è il falso senso di sicurezza in cui l'utente pensa di avere la trinità di username-password-authenticator ma in realtà ha solo un nome utente e due autenticatori, ed entrambi sono un dispositivo.
Ciò è reso anche peggiore se pensi a quante delle nostre vite sono collegate a detto account e-mail. Non solo la tua e-mail stessa, ma anche qualsiasi servizio che sia registrato con quella e-mail probabilmente ha una politica di reset che la utilizza. In questo modo, l'hacker può anche trasferire la proprietà di tutti i servizi a se stessi tramite il proprio dispositivo. Inoltre l'e-mail fornisce anche un'interfaccia facile da usare che cercherà i servizi per i quali ti sei registrato. Tutto quello che devono fare è cercare "verifica la tua e-mail cliccando qui:" e viene fuori un elenco di domini in cui hai tentato di registrarti.
Questo è qualcosa che cerco di consigliare alle persone ogni volta che lo vedo. Ogni passaggio di sicurezza deve essere separato il più possibile entro limiti di usabilità ragionevoli. Se disponi dell'autenticatore google sul tuo dispositivo mobile, non consentire alla tua e-mail di ricordare la password di Gmail. Se lo consenti, usa l'autenticatore su un altro dispositivo, come un ipad, un altro telefono o il tuo computer. Esistono alcune ottime alternative agli autentificatori tradizionali che funzionano con i telefoni e non richiedono operazioni da eseguire sul telefono stesso. Come Yubikey NEO che ha attivato NFC. Anche se il tuo telefono venisse rubato, probabilmente lo yubikey non sarà (per favore non collegarlo alla catena portachiavi che si blocca dai tuoi telefoni ...).
Questi metodi mantengono separate ciascuna parte della trinità e, quindi, attenuano un po 'il problema. È sempre importante definire chiaramente la linea tra ogni parte della struttura di sicurezza. Altrimenti iniziano a ingranare insieme fino a quando, come in questo caso, diventano effettivamente la stessa parte di quella trinità, lasciando un vuoto dove uno di loro una volta si trovava.