Stavo leggendo l'ultimo strumento di sicurezza per 2fa e ho appreso che sms non è un modo sicuro per condurre la verifica del dispositivo a causa di problemi di phishing. Sembra che la maggior parte degli articoli / blog abbia sottolineato l'importanza dell'autenticazione delle notifiche push. In sostanza, ricevi una notifica push inviata al tuo telefono ad ogni tentativo di accesso, che ti consente di confermare o rifiutare il tentativo. Tuttavia, tutto dipende dal fatto che sono già installate app di terze parti, come Authy, che hanno API che inviano e ricevono le notifiche.
Tuttavia, richiedendo agli utenti di avere già installata un'app separata, gli omicidi registreranno percentuali di conversione, specialmente all'inizio. Tuttavia, sembra che se dovessi costruire un sistema push endemico alla mia app, avrebbe la stessa funzionalità, tagliando fuori la terza parte, dato che tutto quello che stanno offrendo è una API esistente (che sembra facilmente replicabile). È corretto? O mi mancano alcune funzionalità di sicurezza che hanno solo le app di terze parti esistenti?
(Supponiamo che siamo solo preoccupati di attacchi di phishing / MITM / social engineering che mirano a rubare le credenziali di accesso / password una tantum e non i veri telefoni rubati, nel qual caso la mia proposta avrebbe problemi evidenti, dal momento che la spinta il sistema è collegato all'app su quel dispositivo fisico)