Por que devo usar o aplicativo Google Authenticator em vez do SMS?

10

Uso a autenticação de dois fatores do Google, porque sei que o acesso à minha conta de e-mail é a chave principal de todas as minhas outras contas .

E ... é muito chato - estou trocando frequentemente computadores e outros dispositivos e uso muitos aplicativos nativos que precisam acessar minhas contas do google, mas sei que é o mínimo que preciso fazer para proteger meu e-mail, pois é a única coisa entre mim e nunca faz bem que pode redefinir minha senha do Netflix e transmitir filmes ruins que podem estragar minhas recomendações.

A principal maneira de obter o código de login necessário (além da senha) para a autenticação de dois fatores do Google é através do aplicativo Google Authenticator, que você pode instalar no seu telefone.

Mas, se você não o tiver instalado ou não estiver configurado, ou se algo der errado, eles enviarão o código via SMS, que é apresentado como mais um método de backup. O que me leva à minha pergunta. Supondo que eu esteja confortável com a segurança da minha comunicação por SMS:

O SMS não é a melhor maneira de obter os códigos, pelo menos do ponto de vista de conveniência?

Se eu desativar o autenticador (acionando códigos SMS), sempre que preciso de um código, ele é instantaneamente enviado ao meu telefone, sem nenhuma ação minha, e aparece em qualquer tela em que estou. Terminei.

Com o Authenticator em execução, tenho que desbloquear meu telefone, abrir o autenticador, escolher o código certo (tenho duas contas do Google), espero que o código não esteja prestes a expirar (o texto envia um que seja "novo"), etc.

Entendo perfeitamente que o SMS é um pouco menos protegido: alguém que possui meu telefone (e presumivelmente minha senha), mas não consegue desbloquear o telefone, pode ver as notificações por SMS, mas não conseguiu abrir o Authenticator. Mas isso é um tiro no escuro. Também existe o fato de que serviços como o iMessage enviam SMS para outros dispositivos, como Macs, iPads, etc. Mas, novamente, supondo que eu esteja bem com meu controle de acesso ao meu SMS:

Existe algum motivo para usar o aplicativo do Google e apenas obter textos?

Jaydles
fonte

Respostas:

9

O Authenticator funciona mesmo quando você não tem nenhum tipo de rede disponível para o seu smartphone.

Não conheço sua operadora de celular, mas não confio na minha para enviar mensagens SMS de qualquer maneira que se assemelhe a tempo.

Além disso, é mais seguro, como você observou.

cerveja
fonte
O Google Authenticator possui um cronômetro de contagem regressiva visual para que você sempre saiba quando o código será alterado a seguir. Escolher o código certo também é fácil. Eu tenho 6 contas (2 Gmail) no Authenticator
Kevan Sheridan 9/10
Esta é uma ótima resposta - eu não tinha pensado nisso. Aceitará amanhã, assumindo que nada mais pareça mais relevante. Por curiosidade, você sabe como isso acontece sem conexão? Eu suponho que ele armazena em cache vários códigos no aplicativo, então você tem o suficiente para preencher algum período de tempo, embora eu ache que também possa gerá-los no aplicativo (presumivelmente indefinidamente) em alguns itens replicados no servidor.
21419 Jaydles
Não tenho uma visão específica do Secret Sauce ™ do Google. O que li sobre outros sistemas similares é que o algoritmo usa uma chave compartilhada (por que você precisava digitalizar um código QR) e o tempo para gerar um número de seis dígitos a cada 60 segundos.
ale
O autenticador do Google está apenas quebrando uma senha forte gerada automaticamente e gerada com base no tempo (arredondado para os próximos 30 segundos) ou em um contador e na senha forte, as senhas únicas.
allo
O algoritmo é realmente simples, consulte en.wikipedia.org/wiki/… . O autenticador padrão substitui o contador por um carimbo de data / hora, mas você pode opcionalmente usar um contador nos aplicativos mais autenticadores, o que ajuda quando o relógio não está sincronizado com o relógio do servidor.
allo
1

O SMS é a maneira mais comum de fornecer OTPs. É conveniente, pois quase todo mundo tem um telefone para receber SMS facilmente. Ao mesmo tempo, o SMS é considerado um dos métodos menos seguros para obter um OTP devido ao risco de as mensagens SMS serem interceptadas ou redirecionadas. O NIST não está mais recomendando sistemas de autenticação de dois fatores que usam SMS, por causa de suas muitas inseguranças. Eles emitiram novas Diretrizes de Identidade Digital pedindo para usar outras formas de autenticação de dois fatores.

O Google Authenticator armazena chaves secretas nas áreas de memória protegidas do telefone. Se o seu telefone não estiver enraizado, apenas o Google Authenticator poderá acessá-lo. Eles não podem ser interceptados ou recuperados. Portanto, o Google Authenticator é mais seguro e confiável que o SMS.

cristão
fonte