In generale, tutti questi prodotti per la sicurezza sono abbastanza solidi per gli utenti occasionali. Quando si tratta di utenti finali, la maggior parte delle vulnerabilità proviene dal modo in cui la persona lo utilizza, non dalla debolezza del metodo stesso. Ad esempio, lasci la tua carta RSA SecureID dove i tuoi figli hanno un facile accesso ad essa? Se utilizzi un'app di generazione del codice, il tuo telefono dispone di un strong blocco della password?

Come menzionato da @SteffenUllrich, se ti capita di ottenere spyware sul tuo dispositivo mobile con accesso root - che è più comune di quanto potresti aspettarti (vedi StageFright e download drive-by ) quindi i tuoi SMS, e-mail e forse anche i metodi basati su app potrebbero essere compromessi.

Penso che se si è attenti a come lo si utilizza e si hanno buone pratiche di sicurezza sui dispositivi, allora uno di questi metodi va bene per l'utente medio preoccupato per il drive-by (cioè non mirato) violazione della password da perdite di database. Se vuoi fare il miglio supplementare e sacrificare un po 'di comodità, suppongo che l'ordinamento sia SMS/email < app/OTP/TOTP < hardware token .

Ora, se non sei un utente "medio", ma un obiettivo di alto valore che gli attori dello stato nazione stanno cercando di penetrare, allora tutto cambia. Ad esempio, se hai fatto nemici con l'NSA del governo degli Stati Uniti, allora puoi annusare qualsiasi codice inviato via SMS o e-mail e probabilmente annusare i pacchetti della prima configurazione dell'app Google Authenticator (o, sai , basta chiedere a Google il codice). In questo caso, i token hardware sono davvero re perché sono completamente "fuori dalla banda" (ovvero niente di sensibile attraversa mai Internet).

Solo per completezza, ecco una copia del tag wiki dal tag multi-factor (che ho scritto).

Puoi suddividere i metodi 2FA in tre grandi categorie:

1. Qualcosa che sai - informazioni, come una password, o il nome da nubile di tua madre, o una chiave pubblica memorizzata in un file chiave.

2. Qualcosa che hai - di solito un oggetto fisico come il telefono che può ricevere SMS al tuo numero, o un token One-Time-Password (OTP) o una smart card abilitata a chiave pubblica / Chiave USB:

3. Qualcosa che sei : alias "biometrico" come impronte digitali, diaframma, voce, ritmo di battitura, ecc.

La ragione per suddividere i metodi di autenticazione in queste categorie è che ognuno richiede un tipo di furto molto diverso affinché un hacker possa acquisirlo.

Se ti viene richiesto di fornire una prova di identità da più di una delle catogorie precedenti, allora è correttamente "Autenticazione a due fattori" o "Autenticazione a più fattori". Se stai fornendo più elementi dalla stessa categoria , allora si chiama "Autenticazione a più fasi", che è ovviamente più debole del multi-fattore.

Quando pensi all'autenticazione a due fattori o all'autenticazione a più fattori devi dare un'occhiata al 2 ° fattore - in caso di possesso.

• Il fattore di possesso deve essere unico
• Devi rendertene conto, quando è stato rubato / compromesso
• Devi essere in grado di revocarlo e registrarlo nuovamente. (male per la biometria)

Dispositivi di autenticazione

Puoi differenziare i dispositivi di autenticazione come

hardware < - > software

seedable < - > non seedable

I dispositivi hardware memorizzeranno la chiave segreta, che di fatto nell'incarnazione del fattore di possesso nell'hardware. La chiave segreta non può "essere" rubata senza che te ne accorga.

Ma devi anche occuparti del processo di distribuzione. L'hardware non seedable verrà fornito con un file seme su un disco. Se il venditore conserva una copia dei semi, i token hardware potrebbero essere compromessi, senza che tu te ne accorga.

seedable sono un ottimo modo per evitarlo. Ma nota: un autenticatore google è anche un token "seedable". Tu stesso stai generando la chiave segreta. Ma la memorizzazione di questa chiave segreta non è buona, dato che abbiamo a che fare con un token software ...

back-end di autenticazione

Hai anche bisogno di dare un'occhiata al backend di autenticazione. Hai bisogno di prendere una decisione se stai bene con un servizio in hosting. Quindi devi fidarti del fornitore. Se sei in esecuzione in loco, puoi scegliere tra soluzioni closed source e open source. Scegli questo, con cui ti senti più sicuro.

Disclaimer : sono coinvolto con privacyIDEA , che è una soluzione open source on premise authentication che supporta tutto il token menzionato tipi sopra.

Bottom line

Volevo sottolineare che è difficile definire un ranking a livello di sicurezza. Poiché la sicurezza è ... ... multidimensionale e dipende da molti fattori da tenere in considerazione.

Se decidi per una determinata tecnologia o soluzione. Annota i tuoi pensieri e il processo decisionale, in modo da sapere quali sono gli effetti collaterali o gli svantaggi che sei disposto a prendere. La sicurezza non è mai al 100%. Ed è sempre bene conoscere le scadenze o le limitazioni del sistema che stai utilizzando.