L'autenticazione a più fattori richiede di avere 2 o più di quanto segue:
- Qualcosa che conosci (ad es. segreto come una password)
- Qualcosa che hai (ad esempio, token o codice fornito per il dispositivo specificato)
- Qualcosa che sei (dati biometrici)
(Nota anche che ci sono nuovi concetti per il multi-fattore, ma questi sono quelli di base per MFA)
Google sta utilizzando un sistema in cui hai una password e utilizzando un codice / pin (OTP). Ciò significa che qualcuno non può accedere al tuo account senza conoscere il codice, ma non significa che non possa dirottare la tua sessione. Se hanno compromesso la tua workstation, rete o browser, vedono tutto ciò che hai inserito, incluso questo pin. Questo potrebbe avvenire tramite un attacco classico man-in-the-middle o man-in-the-browser .
La sicurezza deve essere applicata a strati, quindi l'accesso in due fasi fornisce un componente, ma non è una garanzia assoluta o un proiettile d'argento. L'utente malintenzionato non può accedere senza il codice, quindi se desidera accedere, o deve compromettere direttamente il telefono (malware o app dannosa autorizzata che può leggere messaggi di testo), compromette il computer in modo che possano semplicemente manipolare il codice in esecuzione o inoltrare il codice a un utente malintenzionato durante la digitazione o comprometterti tramite l'ingegneria sociale (ad esempio, ti convincono a inoltrare il codice tramite SMS con un pretesto).
Quindi, è molto più difficile compromettere il tuo account, ma non impossibile. Ad esempio: se il tuo telefono è spento, farebbe fatica. Se il telefono fosse spento e non fosse stato compromesso, e non l'avessi inserito nel computer, avrebbero avuto difficoltà. Ci sono alcuni casi limite (ad es. Fanno un po 'di phreaking per intercettare il tuo SMS), ma generalmente è un upgrade della sicurezza del tuo account.