¿Por qué debería usar la aplicación Google Authenticator en lugar de SMS?

10

Utilizo la autenticación de dos factores de Google, porque sé que el acceso a mi cuenta de correo electrónico es la clave maestra para todas mis otras cuentas .

Y ... es bastante molesto: con frecuencia estoy intercambiando computadoras y otros dispositivos, y uso muchas aplicaciones nativas que necesitan acceso a mis cuentas de Google, pero sé que es lo mínimo que necesito hacer para proteger mi correo electrónico, ya que es Lo único entre yo y nunca hacemos bien a quienes quieran restablecer mi contraseña de Netflix y transmitir películas malas que podrían arruinar mis recomendaciones.

La forma principal de obtener el código de inicio de sesión que necesita (además de su contraseña) para la autenticación de dos factores de Google es a través de la aplicación Google Authenticator que puede instalar en su teléfono.

Pero, si no lo tiene instalado, o no está configurado, o si algo más sale mal, le enviarán el código por SMS, que se presenta como un método de respaldo. Lo cual me lleva a mi pregunta. Suponiendo que me siento cómodo con la seguridad de mi comunicación por SMS:

¿No es SMS una mejor manera de obtener los códigos, al menos desde una perspectiva conveniente?

Si desactivo el autenticador (que activa los códigos SMS), cada vez que necesito un código, se lo envía a mi teléfono al instante, sin acciones de mi parte, y aparece en cualquier pantalla en la que estoy. He terminado.

Con Authenticator ejecutándose, tengo que desbloquear mi teléfono, abrir el autenticador, elegir el código correcto (tengo dos cuentas de Google), espero que el código no esté a punto de caducar (el texto envía uno que es "nuevo"), etc.

Entiendo completamente que los SMS están un poco menos protegidos: alguien que tiene mi teléfono (y presumiblemente mi contraseña), pero no puede desbloquear el teléfono puede ver las notificaciones por SMS, pero no pudo abrir Authenticator. Pero eso es una posibilidad remota. También existe el hecho de que servicios como iMessage envían SMS a otros dispositivos, como Mac, iPads, etc. Pero, una vez más, suponiendo que soy bueno con mi control de acceso a mis SMS:

¿Hay alguna razón para usar la aplicación de Google en lugar de solo recibir mensajes de texto?

Jaydles
fuente

Respuestas:

9

Authenticator funciona incluso cuando no tiene ningún tipo de red disponible para su teléfono inteligente.

No sé acerca de su proveedor de telefonía móvil, pero no confío en que el mío envíe mensajes SMS de manera que se parezca a tiempo.

Más allá de eso, es más seguro, como has notado.

cerveza inglesa
fuente
Google Authenticator tiene un temporizador visual de cuenta regresiva para que siempre sepa cuándo cambiará el código a continuación. Elegir el código correcto también es fácil. Tengo 6 cuentas (2 Gmail) en Authenticator
Kevan Sheridan
Esta es una gran respuesta, no había pensado en eso. Aceptará mañana, suponiendo que no aparezca nada más que parezca más relevante. Por curiosidad, ¿sabes cómo hace eso sin conexión? Supongo que solo almacena en caché un montón de códigos en la aplicación, por lo que tiene suficiente para completar un período de tiempo, aunque supongo que también podría generarlos en la aplicación (presumiblemente indefinidamente) en algo de lo que se replica en el lado del servidor.
Jaydles
No tengo ninguna idea particular sobre Google's Secret Sauce ™. Lo que he leído sobre otros sistemas similares es que el algoritmo usa una clave compartida (por qué necesita escanear un código QR) y el tiempo para generar un número de seis dígitos cada 60 segundos.
ale
El autenticador de Google simplemente envuelve una contraseña segura autogenerada y genera en función del tiempo (redondeado a los siguientes 30 segundos) o un contador y la contraseña segura las contraseñas de un solo uso.
allo
El algoritmo es realmente simple, vea en.wikipedia.org/wiki/… . El autenticador predeterminado reemplaza el contador con una marca de tiempo, pero opcionalmente puede usar un contador en la mayoría de las aplicaciones de autenticación, lo que ayuda cuando su reloj no está sincronizado con el reloj del servidor.
allo
1

SMS es la forma más común de entregar OTP. Es conveniente ya que casi todos tienen un teléfono para que puedan recibir SMS fácilmente. Al mismo tiempo, los SMS se consideran uno de los métodos menos seguros para obtener una OTP debido al riesgo de que los mensajes SMS puedan ser interceptados o redirigidos. NIST ya no recomienda sistemas de autenticación de dos factores que usan SMS, debido a sus muchas inseguridades. Emitieron nuevas pautas de identidad digital instando a utilizar otras formas de autenticación de dos factores.

Google Authenticator almacena claves secretas en las áreas de memoria protegidas del teléfono. Si su teléfono no está rooteado, solo Google Authenticator puede obtener acceso a ellos. No pueden ser interceptados o recuperados. Por lo tanto, Google Authenticator es más seguro y confiable que los SMS.

cristiano
fuente