Perché dovrei usare l'app Google Authenticator invece di SMS?


10

Uso l'autenticazione a due fattori di Google, perché so che l'accesso al mio account di posta elettronica è la chiave scheletro per tutti gli altri miei account .

E ... è piuttosto fastidioso: cambio spesso computer e altri dispositivi e utilizzo molte app native che richiedono l'accesso ai miei account google, ma so che è il minimo che devo fare per proteggere la mia e-mail, dal momento che è l'unica cosa tra me e mai fare cose che potrebbero voler reimpostare la mia password Netflix e trasmettere in streaming cattivi film che potrebbero confondere i miei consigli.

Il modo principale per ottenere il codice di accesso necessario (oltre alla password) per l'autenticazione a due fattori di Google è tramite l'app Google Authenticator che puoi installare sul tuo telefono.

Ma, se non lo hai installato, o non è impostato, o qualcos'altro va storto, ti invieranno il codice via SMS, che viene presentato come più di un metodo di backup. Il che mi porta alla mia domanda. Supponendo che io sia a mio agio con la sicurezza della mia comunicazione SMS:

SMS non è un modo migliore per ottenere i codici, almeno dal punto di vista della convenienza?

Se disabilito l'autenticatore (attivando i codici SMS), ogni volta che ho bisogno di un codice, viene immediatamente trasferito sul mio telefono, senza alcuna azione da parte mia, e appare su qualsiasi schermata in cui mi trovo. Ho finito.

Con Authenticator in esecuzione, devo sbloccare il mio telefono, aprire l'autenticatore, scegliere il codice giusto (ho due account Google), spero che il codice non stia per scadere (il testo ne invia uno "fresco"), ecc.

Capisco perfettamente che SMS è leggermente meno protetto: qualcuno che ha il mio telefono (e presumibilmente la mia password), ma non riesce a sbloccare il telefono può vedere le notifiche SMS, ma non può aprire Authenticator. Ma questo è un colpo lungo. C'è anche il fatto che servizi come iMessage inviano SMS ad altri dispositivi, come Mac, iPad, ecc. Ma ancora una volta, supponendo che io sia bravo con il mio controllo dell'accesso al mio SMS:

C'è qualche motivo per utilizzare l'app di Google piuttosto che ottenere messaggi?

Risposte:


9

Authenticator funziona anche quando non hai nessun tipo di rete disponibile per il tuo smartphone.

Non conosco il tuo gestore di telefonia mobile, ma non mi fido del mio di recapitare messaggi SMS in qualcosa che assomigli tempestivamente.

Oltre a ciò, è più sicuro, come hai notato.


Google Authenticator ha un timer per il conto alla rovescia visivo in modo da sapere sempre quando il codice cambierà successivamente. Anche scegliere il codice giusto è facile. Ho 6 account (2 Gmail) in Authenticator
Kevan Sheridan,

Questa è un'ottima risposta - non ci avevo pensato. Accetterò domani, supponendo che nient'altro appaia più rilevante. Per curiosità, sai come lo fa senza alcuna connessione? Presumo che memorizzi nella cache solo un sacco di codici in-app, quindi hai abbastanza da riempire un certo periodo di tempo, anche se immagino che potrebbe anche generarli in-app (presumibilmente indefinitamente) in alcuni di quelli replicati sul lato server.
Jaydles,

Non ho alcuna visione particolare di Secret Sauce ™ di Google. Quello che ho letto su altri sistemi simili è che l'algoritmo utilizza una chiave condivisa (perché è necessario scansionare un codice QR) e il tempo per generare un numero di sei cifre ogni 60 secondi.
Ale

L'autenticatore di Google sta semplicemente racchiudendo una password generata automaticamente e generando in base al tempo (arrotondato per difetto ai successivi 30 secondi) o un contatore e la password sicura le password monouso.
allo

L'algoritmo è davvero semplice, vedi en.wikipedia.org/wiki/… . L'autenticatore predefinito sostituisce il contatore con un timestamp, ma puoi facoltativamente utilizzare un contatore nelle app più autenticatore, il che aiuta quando l'orologio non è sincronizzato con l'orologio del server.
allo

1

SMS è il modo più comune per consegnare OTP. È comodo poiché quasi tutti hanno un telefono in modo da poter ricevere facilmente SMS. Allo stesso tempo, SMS è considerato uno dei metodi meno sicuri per ottenere un OTP a causa del rischio che i messaggi SMS possano essere intercettati o reindirizzati. NIST non sta più raccomandando sistemi di autenticazione a due fattori che utilizzano SMS, a causa delle loro molte insicurezze. Hanno pubblicato nuove linee guida sull'identità digitale che esortano a utilizzare altre forme di autenticazione a due fattori.

Google Authenticator memorizza le chiavi segrete nelle aree di memoria protette del telefono. Se il tuo telefono non è rootato, solo Google Authenticator può accedervi. Non possono essere intercettati o recuperati. Quindi, Google Authenticator è più sicuro e affidabile degli SMS.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.