Google ha anunciado una nueva opción por dos factores autenticación - un mensaje emergente.
¿Cómo mejora esto la seguridad?
Google ha anunciado una nueva opción por dos factores autenticación - un mensaje emergente.
¿Cómo mejora esto la seguridad?
No es el inicio de sesión en en este teléfono , es (probablemente) que inicia sesión en otro dispositivo. Se le solicitará que autorice el inicio de sesión en el otro dispositivo .
Es por eso que el aviso también menciona el dispositivo.
Entonces, ahora aparece un simple mensaje emergente de sí o no, en lugar de un correo electrónico de confirmación, un mensaje de texto o la configuración de una clave de seguridad independiente. En sí mismo, no es más seguro, pero está más simplificado, por lo que más personas pueden comenzar a usarlo.
Al igual que el esquema de autenticación de dos factores anterior, esto supone que estás en posesión de tu teléfono celular. A diferencia del esquema anterior, no requiere que ingreses ningún número (clave de seguridad de 6 dígitos) para iniciar sesión.
(Tenga en cuenta que dado que el sistema aún no se ha implementado por completo, podría haber mucha más información sobre la seguridad del sistema que se publicará más adelante)
Una forma en que esto podría mejorar la seguridad es que, en el sistema anterior, es posible que esté cargando las claves de seguridad de respaldo fuera de su teléfono. Esto lo ayudaría en caso de que pierda su teléfono pero necesite acceder a su cuenta, pero también aumenta el riesgo de que otra persona obtenga sus llaves (por ejemplo, si mantuvo las llaves en su billetera y las perdió). No parece haber ningún riesgo de perder claves en esta nueva opción, pero tampoco se mencionó una forma alternativa de acceder a su cuenta si pierde su teléfono.
Otra toma de esto es un poco diferente. Considere que el nuevo esquema es posiblemente más fácil de usar que el anterior: simplemente presione un botón en lugar de cambiar entre su teléfono y la computadora para copiar la clave de seguridad. Al hacer que la autenticación de dos factores sea más fácil de usar, hay más incentivos para que los usuarios la adopten; Tener autenticación de dos factores en este caso será más seguro que no tenerlo.
Como dice @fishy, el primer objetivo de Google es aumentar la adopción .
Como anécdota, parece que la mayoría de las personas no requieren un segundo factor de autenticación para ninguna de sus cuentas. Los tokens basados en SMS a veces pueden introducir demasiado retraso, pueden generar cargos por los mensajes entrantes y, por lo tanto, se piensa que reduce la facilidad de uso del sistema . TOTP requiere el uso de un teléfono inteligente, el proceso de sincronización puede ser desalentador para los nuevos usuarios (generalmente necesita descargar una aplicación especial, escanear un código QR, validar una cadena larga ...). Claramente, el nuevo sistema de avisos es más utilizable y también evita los ataques basados en la vulnerabilidad del operador como en SMS.
Sin un buen esquema de copia de seguridad (por ejemplo, recurrir a tokens de uso único) este nuevo esquema es peligroso, ya que vincula su autenticación con demasiada fuerza a su dispositivo. También requiere una conexión a Internet para estar siempre disponible, lo que todavía es raro en la mayoría de las partes del mundo.
Finalmente, el esquema aún no se ha evaluado en la naturaleza. Al confiar en un segundo factor basado en HTTPS, es posible que los ataques se vuelvan un poco más fáciles de automatizar (pero esto es pura especulación hasta que se libera más información).
Lea otras preguntas en las etiquetas authentication google multi-factor