C'è un vantaggio nell'usare l'hardware 2FA su SMS quando entrambi sono disponibili? [duplicare]

1

Una banca offre l'autenticazione a due fattori in due forme. Il primo è SMS a un numero di telefono registrato (registrazione effettuata presso la filiale della banca). Il secondo è un token hardware fornito.

Entrambe le opzioni sono fornite per ogni accesso (non hai una scelta), dopo aver eseguito correttamente l'autenticazione utilizzando la password.

Quali vantaggi (se esistono) ci sono di un utente valido che sceglie costantemente l'opzione token hardware nella schermata di accesso? Nota che un utente malintenzionato con la password corretta può sempre attivare l'opzione SMS.

Nota ai commenti: so che l'SMS è "più debole" di un token hardware per l'implementazione 2FA.

    
posta User43234 28.10.2016 - 02:03
fonte

2 risposte

2

Responsabilità.

Se la banca ti offre due livelli di sicurezza e scegli quello inferiore, allora accetti la sicurezza inferiore. Se tale minore sicurezza è compromessa (come afferma Xiong), allora si accetta tale responsabilità.

C'è stato un caso giudiziario (negli Stati Uniti) in cui una banca ha offerto 2FA e il cliente non ha scelto di usarlo affatto. Il cliente aveva rubato denaro. La banca ha rifiutato di risarcirli e ha affermato che il cliente ha accettato tale responsabilità quando non ha utilizzato la 2FA. Corte concordata. Il cliente ha fatto ricorso (in sospeso).

Quindi, se sei il cliente, e prendi sempre HW 2FA e qualcuno ti ha introdotto con gli SMS, allora hai una migliore difesa legale.

(A volte le domande di sicurezza non riguardano la sicurezza, sono problemi legali.)

    
risposta data 28.10.2016 - 03:04
fonte
3

SMS non è intrinsecamente sicuro come un algoritmo eseguito localmente come HOTP; c'è sempre la possibilità di un compromesso nella rete. Per la maggior parte delle persone, tuttavia, questo non rientra nel loro modello di minaccia.

Personalmente, non uso SMS come secondo fattore, perché non è nella mia configurazione. Da molto tempo utilizzo Google Voice e ora utilizzo Google Fi, pertanto i miei messaggi di testo sono accessibili anche tramite il mio account Google. Questo non lo rende più un "qualcosa che hai", ma solo un altro "qualcosa che conosci".

I token basati su hardware hanno una protezione aggiuntiva sui token basati su telefono (anche app HOTP / TOTP) perché funzionano su hardware molto più semplice: è molto più difficile compromettere un Yubikey che un telefono Android.

    
risposta data 28.10.2016 - 02:16
fonte

Leggi altre domande sui tag