L'autenticazione basata su telefono deve essere più sicura di quella basata su e-mail, perché è più difficile assumere il controllo di un telefono piuttosto che un account e-mail. Devo utilizzare l'autenticazione del telefono tramite la verifica della posta elettronica?
La verifica SMS non deve essere utilizzata.
Una buona pratica nell'autenticazione a due fattori consiste nell'utilizzare un'app autenticatore (come Google Authenticator) come secondo fattore. Se un utente malintenzionato ha accesso al tuo telefono, questo non ti aiuterà neanche. Ma la cosa con SMS come seconda fase di verifica è che introduce ulteriori rischi relativi alla sicurezza del vettore. A causa di ciò, NIST non consiglia più di utilizzare l'autenticazione a 2 fattori basata su sms nell'ultima pubblicazione sp800-63b ( link sezione 5.1.3.2. Verificatori fuori banda)
È consigliabile utilizzare un secondo fattore che sia fisicamente separato dal primo fattore. In questo modo, anche se uno dei dispositivi viene catturato, l'avversario non può ottenere il controllo completo dell'account.
Se ti aspetti che la maggior parte del tuo traffico in entrata provenga da un dispositivo non mobile, l'utilizzo di un'autenticazione basata sul telefono sarebbe sicuramente sicuro. Anche se, come buona pratica, dovresti considerare il caso in cui un utente ha perso il telefono e desidera connettersi. Puoi controllare la casella personale per questo.
Leggi altre domande sui tag authentication email multi-factor phone