Utilizo la autenticación de dos factores de Google, porque sé que el acceso a mi cuenta de correo electrónico es la clave maestra para todas mis otras cuentas .
Y ... es bastante molesto: con frecuencia estoy intercambiando computadoras y otros dispositivos, y uso muchas aplicaciones nativas que necesitan acceso a mis cuentas de Google, pero sé que es lo mínimo que necesito hacer para proteger mi correo electrónico, ya que es Lo único entre yo y nunca hacemos bien a quienes quieran restablecer mi contraseña de Netflix y transmitir películas malas que podrían arruinar mis recomendaciones.
La forma principal de obtener el código de inicio de sesión que necesita (además de su contraseña) para la autenticación de dos factores de Google es a través de la aplicación Google Authenticator que puede instalar en su teléfono.
Pero, si no lo tiene instalado, o no está configurado, o si algo más sale mal, le enviarán el código por SMS, que se presenta como un método de respaldo. Lo cual me lleva a mi pregunta. Suponiendo que me siento cómodo con la seguridad de mi comunicación por SMS:
¿No es SMS una mejor manera de obtener los códigos, al menos desde una perspectiva conveniente?
Si desactivo el autenticador (que activa los códigos SMS), cada vez que necesito un código, se lo envía a mi teléfono al instante, sin acciones de mi parte, y aparece en cualquier pantalla en la que estoy. He terminado.
Con Authenticator ejecutándose, tengo que desbloquear mi teléfono, abrir el autenticador, elegir el código correcto (tengo dos cuentas de Google), espero que el código no esté a punto de caducar (el texto envía uno que es "nuevo"), etc.
Entiendo completamente que los SMS están un poco menos protegidos: alguien que tiene mi teléfono (y presumiblemente mi contraseña), pero no puede desbloquear el teléfono puede ver las notificaciones por SMS, pero no pudo abrir Authenticator. Pero eso es una posibilidad remota. También existe el hecho de que servicios como iMessage envían SMS a otros dispositivos, como Mac, iPads, etc. Pero, una vez más, suponiendo que soy bueno con mi control de acceso a mis SMS:
¿Hay alguna razón para usar la aplicación de Google en lugar de solo recibir mensajes de texto?
SMS es la forma más común de entregar OTP. Es conveniente ya que casi todos tienen un teléfono para que puedan recibir SMS fácilmente. Al mismo tiempo, los SMS se consideran uno de los métodos menos seguros para obtener una OTP debido al riesgo de que los mensajes SMS puedan ser interceptados o redirigidos. NIST ya no recomienda sistemas de autenticación de dos factores que usan SMS, debido a sus muchas inseguridades. Emitieron nuevas pautas de identidad digital instando a utilizar otras formas de autenticación de dos factores.
Google Authenticator almacena claves secretas en las áreas de memoria protegidas del teléfono. Si su teléfono no está rooteado, solo Google Authenticator puede obtener acceso a ellos. No pueden ser interceptados o recuperados. Por lo tanto, Google Authenticator es más seguro y confiable que los SMS.
fuente