Uso a autenticação de dois fatores do Google, porque sei que o acesso à minha conta de e-mail é a chave principal de todas as minhas outras contas .
E ... é muito chato - estou trocando frequentemente computadores e outros dispositivos e uso muitos aplicativos nativos que precisam acessar minhas contas do google, mas sei que é o mínimo que preciso fazer para proteger meu e-mail, pois é a única coisa entre mim e nunca faz bem que pode redefinir minha senha do Netflix e transmitir filmes ruins que podem estragar minhas recomendações.
A principal maneira de obter o código de login necessário (além da senha) para a autenticação de dois fatores do Google é através do aplicativo Google Authenticator, que você pode instalar no seu telefone.
Mas, se você não o tiver instalado ou não estiver configurado, ou se algo der errado, eles enviarão o código via SMS, que é apresentado como mais um método de backup. O que me leva à minha pergunta. Supondo que eu esteja confortável com a segurança da minha comunicação por SMS:
O SMS não é a melhor maneira de obter os códigos, pelo menos do ponto de vista de conveniência?
Se eu desativar o autenticador (acionando códigos SMS), sempre que preciso de um código, ele é instantaneamente enviado ao meu telefone, sem nenhuma ação minha, e aparece em qualquer tela em que estou. Terminei.
Com o Authenticator em execução, tenho que desbloquear meu telefone, abrir o autenticador, escolher o código certo (tenho duas contas do Google), espero que o código não esteja prestes a expirar (o texto envia um que seja "novo"), etc.
Entendo perfeitamente que o SMS é um pouco menos protegido: alguém que possui meu telefone (e presumivelmente minha senha), mas não consegue desbloquear o telefone, pode ver as notificações por SMS, mas não conseguiu abrir o Authenticator. Mas isso é um tiro no escuro. Também existe o fato de que serviços como o iMessage enviam SMS para outros dispositivos, como Macs, iPads, etc. Mas, novamente, supondo que eu esteja bem com meu controle de acesso ao meu SMS:
Existe algum motivo para usar o aplicativo do Google e apenas obter textos?
O SMS é a maneira mais comum de fornecer OTPs. É conveniente, pois quase todo mundo tem um telefone para receber SMS facilmente. Ao mesmo tempo, o SMS é considerado um dos métodos menos seguros para obter um OTP devido ao risco de as mensagens SMS serem interceptadas ou redirecionadas. O NIST não está mais recomendando sistemas de autenticação de dois fatores que usam SMS, por causa de suas muitas inseguranças. Eles emitiram novas Diretrizes de Identidade Digital pedindo para usar outras formas de autenticação de dois fatores.
O Google Authenticator armazena chaves secretas nas áreas de memória protegidas do telefone. Se o seu telefone não estiver enraizado, apenas o Google Authenticator poderá acessá-lo. Eles não podem ser interceptados ou recuperados. Portanto, o Google Authenticator é mais seguro e confiável que o SMS.
fonte