Uso 2FA su tutti i servizi che lo supportano. Genero codici di backup e li memorizzo in una posizione crittografata sicura. La maggior parte dei servizi richiede purtroppo un backup SMS, che rappresenta un problema di sicurezza in quanto un utente malintenzionato potrebbe essere in grado di ingannare la mia compagnia telefonica per reindirizzare il mio numero o trasferirlo a un altro provider.
Per proteggerci meglio ho pensato di utilizzare Twilio o un altro servizio per creare un numero che possa ricevere messaggi di testo. Avrei quindi quei numeri pubblicati in qualche posto sicuro che posso controllare quando mi aspetto un messaggio SMS. Probabilmente il modo più semplice è configurare Twilio per postare su un endpoint AWDA Lambda che invia a SQS.
Questo mi sembra un metodo più sicuro e probabilmente lo farò ma non so se ho una comprensione completa di tutti i rischi. I problemi a cui posso pensare sono i seguenti:
- È efficacemente la sicurezza dall'oscurità in quanto un utente malintenzionato non conoscerà il mio numero di telefono 2FA ma se il database di un sito è compromesso, il numero è noto. ** Immagino di poter generare un numero per ogni sito ma sembra che potrebbe diventare costoso!
- Il numero può essere portato senza il consenso di Twilio (o il mio)?
- Qualcuno può intercettare un messaggio SMS in qualche altro modo?
In effetti, sembra mitigare che tutti i cardini sul numero 2FA siano sconosciuti. Forse potrei usare numeri univoci per servizi molto critici come l'e-mail e un numero standard per cose meno importanti.