Di solito è un errore pensare alla sicurezza come o è o non lo è. Hai davvero bisogno di fare una valutazione del rischio di base. A titolo di confronto, fai la domanda "La mia casa è sicura?" La risposta a questa domanda non è sì o no. Dipende davvero da fattori come dove si trova la tua casa, cioè 30 miglia dalla città più vicina è probabilmente più sicuro che in un sobborgo con un alto livello di criminalità o furti. per la mia casa in campagna, potrei avere solo serrature standard, ma per la mia casa in città, potrei avere serrature deadbolt di alta qualità, allarmi, un cane da guardia ecc. Se invece colleziono opere d'arte preziose e mantengo nella mia casa di campagna e uso il tubo della mia città come un crash pad per quando sono in città, potrei investire in allarmi e cani per la mia casa di campagna e non preoccuparmi del tubo della città perché non c'è molto valore lì e anche se qualcuno si intromette, probabilmente non avrà molto impatto su di me.
l'altro punto da considerare è che se qualcuno vuole davvero entrare in casa mia, probabilmente non riuscirò a fermarli. Tutto quello che posso veramente fare è rendere il costo di irruzione per il ladro più alto della ricompensa / valore che otterranno.
Le stesse idee si applicano per quanto riguarda l'uso di SMS per la verifica, ecc. Vi sono numerosi rapporti di persone che hanno hackerato il proprio account Google nonostante abbiano utilizzato la verifica in due passaggi di Google (che include un codice SMS). Vedi ad esempio link Oltre al rischio di un malintenzionato app sul tuo telefono che ruba tali informazioni (ci sono numerose segnalazioni di malware bancario che lo fanno), c'è anche il rischio che qualcuno possa hackerare il tuo fornitore di servizi e reindirizzare il tuo numero al telefono. Questo è il motivo per cui la maggior parte dei sistemi migliori non si basa solo sugli SMS. Spesso l'SMS è solo un bit di informazioni che è necessario per ottenere l'accesso.
Tuttavia, proprio come l'esempio di casa, la sua sicurezza dipende dalla valutazione dei rischi. Ad esempio, utilizzo un'app che registra elementi, segnalibri e altre note. Utilizza SMS come metodo per recuperare il mio account nel caso in cui dimentichi la mia password o ogni volta che accedo da un nuovo dispositivo. È sicuro? Per me è abbastanza sicuro. Se qualcuno dovesse reindirizzare il mio telefono e ottenere il mio codice SMS e accedere al sito, e allora? Hanno accesso alla mia lista di cose da fare e ai messaggi SMS. Molto probabilmente, sarebbe solo un inconveniente. Tuttavia, se la mia banca ha appena usato un codice SMS per autenticarmi, probabilmente cambierei banca perché questo sarebbe un rischio molto più alto.
Quindi, in generale, gli SMS da solo come forma di autenticazione non sono grandiosi, ma possono essere sufficienti per alcune cose e sicuramente non sono sufficienti per gli altri. Se è solo una parte del processo di autenticazione e richiede informazioni aggiuntive, probabilmente è meglio, ma per alcune applicazioni potrebbe essere un po 'eccessivo. Essenzialmente, è necessario valutare il suo uso nel contesto e diffidare di affermazioni radicali che dicono che è o non è sicuro.