Sto cercando di implementare un sistema di autenticazione a due fattori per il mio sito web, utilizzando il cellulare di un utente come "qualcosa che hai" parte di un sistema a due fattori. Sembra che ci siano due approcci tipici per fare questo:
- Invia un codice via SMS o messaggio vocale all'utente e chiedi loro di inserire il codice su una pagina web per completare il login.
- Utilizza un'app sul telefono per generare un token TOTP e chiedi agli utenti di inserire il token per completare il login.
Vorrei evitare la spesa e la complessità dell'invio di un codice tramite voce o SMS, ma ci sono dei vantaggi in termini di sicurezza o fruibilità che ottengo sostenendo l'opzione n. 1? Ovviamente, un vantaggio è una gamma più ampia di telefoni supportati poiché SMS e voce funzionano con feature phone e smart phone. Tuttavia, con l'aumento dell'adozione di smart phone, tale vantaggio verrà ridotto. Esistono altri vantaggi offerti da SMS / Voice? In caso contrario, l'autenticazione a due fasi utilizza efficacemente SMS / voce morta?