L'utilizzo del numero di Google Voice per l'autenticazione a due fattori è un grosso errore?

Analizziamo alcune possibili opzioni a 2 fattori e possibili forme di attacco:

• Non messaggi vocali di Google
  • Se qualcuno ruba il telefono e riesce a superare qualsiasi blocco:
    • Tutti i servizi che hanno già considerato attendibile il tuo telefono come dispositivo avranno accesso completo a
    • Hanno accesso alla tua email e possono dirottare account attendibili che consentono di reimpostare la password dell'account via e-mail (anche se 2fa potrebbe salvarti a seconda del servizio)
    • Non possono accedere ad account che non si fidano mai dei dispositivi se non conoscono la tua password
  • Tramite un attacco di social engineering, possono tentare uno scambio di SIM, ma avranno bisogno della tua password per accedere a qualsiasi sito
  • Malware sul tuo dispositivo 2FA o accesso al dispositivo.
• Google-Voice SMS / Telefonata
  • Se rubano il tuo dispositivo e superano qualsiasi blocco:
    • Lo stesso di cui sopra si applica
  • Se rubano QUALSIASI ALTRO dispositivo su cui è installata la voce di Google, evita qualsiasi protezione tramite password (su Linux, Windows, Mac, questo è spesso possibile) E hanno la tua password o è un dispositivo fidato con un servizio, potrebbero eventualmente ottenere pieno accesso agli account.
  • Malware sul tuo dispositivo 2FA o accesso al dispositivo.
  • Se colpiscono il "reset password link" su un sito:
    • Se hanno phishing per la tua password email e NON HAI 2fa sulla tua email E hai GV e email sullo stesso account (o lo stesso pass su due diversi account Google), allora Alan ha esattamente ragione che questo è essenzialmente non 2fa. Se hai 2fa sulla tua email, allora è ancora 2fa. Possono phishing per la tua password di google e quando lo hanno possono andare su qualsiasi sito Web e selezionare 'password dimenticata', ma non sarà di aiuto perché non hanno la seconda 'cosa che hai', vale a dire un SEPARATO ( vedi sotto) account GV per 2fa. Il pass di Gmail non li aiuta a entrare nel sito. Ma NON DEVI GV sullo stesso account Gmail che il tuo 2fa sia in ogni caso (vedi sotto), quindi di solito questo sarà 2fa se hai password diverse per ogni account.
  • (PUOI BLOCCARE DA TE: NON USARE LO STESSO ACCOUNT GOOGLE PER ENTRAMBI GOOGLE VOICE PER RICEVERE 2FA E L'ACCOUNT CHE INVIA I 2FA)
• Un'autenticazione "push" come Duo
  • Se rubano il dispositivo:
    • Se possono ignorare la password per il dispositivo, possono utilizzare direttamente 2fa.
  • Se rubano qualsiasi altro dispositivo su cui è installato un servizio push
• Un generatore di codice:
  • Se rubano un dispositivo:
    • Se possono ignorare la password per il dispositivo, possono accedere direttamente a 2fa.
  • Malware sul tuo dispositivo 2FA o accesso al dispositivo.

In sintesi, GV è o non è un "grosso errore" a seconda del livello di rischio che si desidera prendere. La generazione di push o di codice è probabilmente la più sicura, ma ognuno di essi ha i propri vettori di attacco. Il malware è molto improbabile ma non impossibile (e tutti tranne i push sono vulnerabili). Il tuo dispositivo rubato E un aggressore motivato che tenta di dirottare i tuoi account è anche molto improbabile ma possibile. Ma tutti i metodi sono vulnerabili al furto del tuo dispositivo. GV aggiunge ulteriori rischi perché ora OGNI dispositivo GV che è stato rubato può essere vulnerabile agli attacchi. Ma GV aggiunge ulteriore comodità: puoi spingere su più dispositivi, non devi andare a prendere il tuo telefono, puoi vederlo apparire sul tuo laptop e solo inserirlo. Vale la pena rischiare ulteriormente? (Forse c'è una probabilità del 2% di rubare il dispositivo in un anno (vero con qualsiasi metodo, ma peggio con GV perché hai altri dispositivi che possono essere rubati), e una probabilità del 5% che l'aggressore sia motivato abbastanza da dirottare i tuoi account. Quindi questo è il tuo rischio assoluto, ne vale la pena? Tocca a te.

Ma se vai con GV i suggerimenti sono:

• Assicurati di NON utilizzare 2FA con il tuo account Google SAME ACCOUNT come GV
• Assicurati che TUTTI i tuoi dispositivi siano protetti da password / pin con una password complessa
• Non appena noti che un dispositivo viene rubato, modifica le tue password e i metodi 2fa per TUTTI gli account importanti IMEATAMENTE
• Attiva 2fa per tutti i tuoi account di posta elettronica (ma guarda il primo punto!) la tua email è un tesoro per gli hacker a causa della storia e delle abilità di reimpostazione della password.

(Pensa a qualsiasi altro vettore di attacco? eventuali correzioni? Fammi sapere e lo aggiungerò alla lista.)

Il problema principale con questo sarebbe quando qualcuno ha malware sul tuo computer (come un keylogger) che sarebbe in grado di ottenere la tua password di Google Voice così come la normale password dell'account. Potrebbero quindi superare l'autenticazione a due fattori. Se accedi sempre a Google Voice da un sistema separato, sei comunque tecnicamente in due modi.

Se hai limitato l'accesso al tuo account Google e implementato l'autenticazione a più fattori per accedervi prima di accedere a Google Voice, aumenterebbe la soglia di accesso non autorizzato e sarebbe più sicuro da utilizzare. Ma spesso gli utenti non usano né PIN né altro sui loro dispositivi fisici e naturalmente non puoi nemmeno perderlo fisicamente.

Se il tuo numero di telefono è compromesso, puoi facilmente modificarlo anche con Google Voice.

Sì, è un errore. Hai reso il tuo account più sicuro, ma non con un secondo fattore.

Ci sono tre fattori per l'identificazione: qualcosa che conosci, qualcosa che sei e qualcosa che hai.

In questo caso, qualcosa che hai, dovrebbe essere un dispositivo fisico (il tuo telefono cellulare) a cui solo tu (in teoria) hai accesso.

Mentre Google Voice consente il traffico degli SMS, consente anche a chiunque disponga di un computer, una connessione Internet e le tue credenziali di accedere al tuo SMS, quindi hai diminuito il fattore in modo significativo. Invece di 2 fattori, hai effettivamente un singolo fattore, una password, utilizzata due volte: la tua password del sito e la password del tuo account vocale di Google. Questa non è un'autenticazione a 2 fattori.

Non è diverso nella realtà, piuttosto che fare clic sul link "Ho dimenticato la password" e avere il link di ripristino inviato al tuo account google (che è lo stesso account utilizzato per accedere alla voce Google).

Un caso d'uso che è stato ignorato nelle risposte fino ad ora è per coloro che non sono in grado di mantenere il loro telefono fisico sulle loro persone in ogni momento. Se non ti è permesso il tuo cellulare al lavoro, ad esempio, direi che usare Google Voice come fonte di autenticazione a due fattori è un enorme passo avanti per non avere affatto l'autenticazione a due fattori. No, non è perfetto ed è suscettibile al rischio, ma tale rischio è molto meno rischioso di quello che sarebbe solo lasciando i tuoi servizi come solo l'autenticazione della password.

Credo che sto dicendo di usare il buon senso. Se sei in grado di tenere il tuo telefono su di te ogni volta che devi accedere da qualche parte, non preoccuparti di utilizzare Google Voice in quanto è un rischio, ma se non riesci ad accedere sempre al tuo secondo dispositivo di autenticazione, rendi tale autenticazione come Google Voice per darti una sicurezza migliore di una singola fonte di autenticazione.