Google ha annunciato una nuova opzione per due fattori autenticazione - un messaggio popup.
In che modo migliora la sicurezza?
Google ha annunciato una nuova opzione per due fattori autenticazione - un messaggio popup.
In che modo migliora la sicurezza?
Non si sta effettuando il login su questo telefono , è (presumibilmente) si accede su un altro dispositivo. Viene richiesto di autorizzare l'accesso sull'altro dispositivo .
Ecco perché il prompt menziona anche il dispositivo.
Quindi ora ricevi un semplice si o nessun pop-up, piuttosto che un'email di conferma, un testo o l'impostazione di una chiave di sicurezza separata. Di per sé non è più sicuro, ma è più snello, quindi più persone possono iniziare a usarlo.
Come il precedente schema di autenticazione a due fattori, questo presuppone che tu sia in possesso del tuo telefono cellulare. A differenza dello schema precedente, non richiede di inserire alcun numero (chiave di sicurezza a 6 cifre) per accedere.
(Tieni presente che, poiché il sistema non è ancora stato completamente implementato, potrebbero esserci molte altre informazioni sulla sicurezza del sistema in uscita più tardi)
Un modo in cui questo potrebbe migliorare la sicurezza è che nel vecchio sistema è possibile che le chiavi di sicurezza del backup si trovino lontano dal telefono. Questo ti aiuterà nell'eventualità di perdere il telefono ma di accedere al tuo account, ma aumenta anche il rischio che qualcun altro abbia le tue chiavi (diciamo se hai tenuto le chiavi nel tuo portafoglio e hai perso quelle). Non sembra esserci alcun rischio di perdere le chiavi in questa nuova opzione, ma non è stato menzionato un modo alternativo per accedere al tuo account in caso di smarrimento del telefono.
Un altro approccio a questo è un po 'diverso. Considera che il nuovo schema è indubbiamente più semplice da usare rispetto a quello vecchio: basta premere un pulsante anziché passare tra il telefono e il computer per copiare la chiave di sicurezza. Rendendo più semplice l'utilizzo dell'autenticazione a due fattori, gli utenti lo stimolano maggiormente; avere un'autenticazione a due fattori in questo caso sarà più sicuro che non averlo.
Come dice @fishy, il primo obiettivo di Google è aumentare l'adozione .
Aneddoticamente, sembra che la maggioranza delle persone non richieda un secondo fattore di autenticazione per nessuno dei propri account. I token basati su SMS possono a volte introdurre troppo ritardo, comportare addebiti per i messaggi in arrivo e quindi si pensa che riduca l'usabilità del sistema . TOTP richiede l'uso di uno smartphone, il processo di sincronizzazione può essere scoraggiante per i nuovi utenti (in genere è necessario scaricare un'applicazione speciale, eseguire la scansione di un codice QR, convalidare una lunga stringa ...). Chiaramente, il nuovo sistema di prompt è più utilizzabile ed evita anche attacchi basati sulla vulnerabilità dei carrier come negli SMS.
Senza uno schema di backup valido (ad esempio, ricadendo sui token di utilizzo monouso) questo nuovo schema è pericoloso, poiché lega strongmente l'autenticazione al tuo dispositivo. Richiede inoltre che sia sempre disponibile una connessione Internet, che è ancora rara in molte parti del mondo.
Infine, lo schema non è stato ancora valutato in natura. Facendo affidamento su un secondo fattore basato su HTTPS, è possibile che gli attacchi possano essere leggermente più semplici da automatizzare (ma questa è pura speculazione finché non verranno rilasciate ulteriori informazioni).
Leggi altre domande sui tag authentication google multi-factor