Eliminazione della password a favore di SMS e autenticazione basata su app

Funzionalmente, quando usi l'SMS o l'app di autenticazione su un telefono cellulare, fai affidamento sulla sicurezza su qualcosa che hai . È stato usato per secoli per le chiavi di casa, quindi non è fondamentalmente cattivo ...

Puoi persino renderlo simile a un sistema 2FA se il telefono richiede una password ogni volta che lo usi e anche la carta SIM. Ma ... è limitato dalla costruzione alle app basate su telefoni o tablet.

La password è qualcosa che conosci ed è quasi vecchia: anche le casseforti che usano combinazioni esistono da secoli. Hai mostrato il lato oscuro: una buona password dovrebbe essere facile da ricordare per il proprietario e impossibile da indovinare per chiunque altro ... il che è davvero difficile da trovare. Peggio ancora, le buone pratiche raccomandano di cambiarlo su base regolare, il che è quasi impossibile.

Ma un sistema basato su password può essere semplicemente migliorato con un password vault e un generatore casuale corretto. Tali vault esistono su quasi tutti i sistemi, e alcuni come l'eccellente keypass hanno versioni per sistemi operativi diversi, che possono essere sincronizzati localmente o tramite l'archiviazione su Internet come DropBox. Quindi la password è casuale e può essere modificata a piacere e la sicurezza si affida al vault (che può avere copie di backup) e alla password principale che non viene mai scambiata al di fuori del dispositivo (o del PC).

Quindi il sistema può essere migliore di una password banale, ma dipende da hardware specifico, mentre un sistema di password può essere sicuro ed è completamente portatile e può fornire protezione contro la perdita del dispositivo.

Non voglio dire che l'app di SMS o di autenticazione sia cattiva . Sono anche abbastanza sicuro che si adattino perfettamente ad alcuni casi d'uso, ma IMHO il buon vecchio sistema password è ancora appropriato per molti altri.

L'accesso basato su Sms o autenticatore può fornire una sicurezza migliore nel senso che si annullano molti attacchi come il dizionario e la forza bruta. Tuttavia non è un meccanismo di sicurezza.

Ci sono alcuni problemi causati quando usi solo sms o sistemi basati su app:

• Se perdi il telefono, non puoi effettuare il login finché non ottieni almeno una nuova sim.

• Se si perde il telefono e si trova la mia persona malintenzionata, è molto probabile che la tua e-mail venga sincronizzata sul telefono. Possono provare ad accedere al tuo sito web e sia l'email (una delle tue alternative) che i token basati su sms saranno disponibili per l'aggressore.

Come hai già detto nella tua domanda, 2 fattori è meglio di questo. Se dovessi usare un singolo fattore, scegliere uno che è sempre garantito per essere conosciuto all'utente sarebbe meglio.

EDIT : c'era un commento sulla crittografia del dispositivo e sui codici di accesso per proteggere il sistema. La maggior parte dei telefoni Android che ho visto utilizzano pattern non molto sicuri as menzionato su Android SE . Inoltre, se utilizzare questa tecnica dipende eventualmente dal modello di minaccia e dalle ipotesi sul livello di maturità dell'utente. Se gli utenti della tua app sono tenuti a mantenere i loro dispositivi al sicuro, allora è grandioso altrimenti è un rischio.

Opinione: Sono d'accordo che se perdono il loro telefono, puoi avere una password dimenticata tipo di prompt, ma non è ancora abbastanza buono secondo me.