Il caso
Uso la verifica in due passaggi di Google.
La domanda
Perché Google utilizza un codice come secondo passo? Perché non solo un'app per Android in cui puoi fare clic su "Sono io"?
Se due o più persone tentano di accedere allo stesso account nello stesso momento e solo uno di questi utenti è legittimo, non sarebbe possibile per l'app sapere quale tentativo di accesso deve verificare, senza che l'utente identifichi il loro particolare tentativo in qualche modo.
Come tale ha senso che l'utente applichi un codice direttamente alla sua sessione. Notevole è anche il fatto che i codici sono generati offline, in base al tempo segreto e del dispositivo. L'utilizzo di un pulsante "Sono io" richiede un server intermedio attraverso il quale l'app Web e l'app mobile confermano la richiesta di autenticazione. Ciò aggiunge costi all'app e introduce dipendenze, punto di errore e potenziale punto di vulnerabilità.
@Scott if someone is able to fake a "it's me" notification, that means he have stolen the original secret. He might as well still the your MFA code
Immagina di accedere al tuo account Google e un hacker sta anche tentando di accedere al tuo account Google. Entrambi siete al livello MFA. Solo tu hai il dispositivo MFA.
Premi il pulsante "Sono io" per autenticare ... Quale delle 2 sessioni in attesa si autentica? L'idea "Sono io" funziona solo se selezioni la sessione corretta. In tal caso un codice è più semplice e più sicuro.
In any case, the "that's me" notification can be a response to a challenge sent by the authentication server on your session. In which case you will be notified if an attacker attempted to log in. Any idea why that wouldn't work?
Posso vedere che cosa stai ricevendo con il dispositivo che è stato notificato del tentativo, e poi lo confermi con l'app. Non è un disegno non fattibile. Credo che alla fine si tratta di pro e contro:
Il tuo metodo consigliato:
Il metodo del codice corrente:
Leggi altre domande sui tag authentication google multi-factor