L'utilizzo di un telefono è un altro modo di utilizzare l'autenticazione a più fattori e aumenta sicuramente la sicurezza se eseguita correttamente. Non è un sostituto per una password o altre informazioni, ma spesso l'autenticazione usa contemporaneamente "qualcosa che hai" e "qualcosa che conosci" per verificare, in quanto riduce la possibilità che a) la tua password venga rubata eb) la tua il telefono viene rubato o violato
Dichiarato in modo diverso, se hai il tuo telefono e qualcuno ti ha infilato la password, questo può impedirgli di ottenere accessi non autorizzati. Se hai la tua password ma qualcuno ti ruba il telefono, questo può comunque impedirgli di ottenere l'accesso non autorizzato. Qualcuno dovrebbe avere il tuo telefono E conoscere la tua password per molte modifiche importanti, che è un ulteriore salvaguardia.
Sebbene sia un metodo sicuro, ci sono due principali svantaggi: 1) l'ovvio, che se il telefono viene perso, rubato, sostituito, morto, ecc., l'intero processo è discutibile. Se non c'è password, non c'è soluzione. 2) Questo è un processo ingombrante che la maggior parte degli utenti non vorrebbe fare. Nonostante queste difficoltà, la 2FA sta diventando più diffusa perché è molto più sicura di una password o di un testo JUST.
In termini di sicurezza, questo non è necessariamente "più sicuro" o "meno sicuro" se si utilizza un solo metodo (telefono); sono suscettibili a diverse forme di attacco. Potresti considerarlo un po 'più sicuro nel complesso, supponendo che non sia mai successo nulla al telefono, ma questo fa parte dell'autenticazione a più fattori. Ma anche così, proteggere il telefono è ancora solo metà della battaglia. Gli attacchi MitM per ricevere il testo, ad esempio, rappresentano nuove minacce rispetto a una password che utilizza SSL / HTTPS. Inoltre, il valore casuale può essere indovinato tramite attacchi arcobaleno.
Probabilmente starai meglio costringendo le password più forti a bilanciare la praticità.