¿Es un gran error usar el número de Google Voice para la autenticación de dos factores?

Revisemos algunas opciones posibles de 2 factores y posibles formas de ataque:

• SMS sin voz de Google
  • Si alguien roba tu teléfono y puede pasar cualquier bloqueo:
    • Cualquier servicio que ya haya confiado en su teléfono como un dispositivo al que tendrán acceso completo
    • Tienen acceso a su correo electrónico y pueden secuestrar cuentas confiables que permiten restablecer las contraseñas de las cuentas por correo electrónico (aunque 2fa puede ahorrarle según el servicio)
    • No pueden acceder a cuentas que nunca confían en dispositivos a menos que conozcan su contraseña
  • A través de un ataque de ingeniería social, pueden intentar un intercambio de SIM, pero necesitarán su contraseña para acceder a cualquier sitio
  • Malware en su dispositivo 2FA o dispositivo de acceso.
• Llamada de teléfono / SMS de voz de Google
  • Si roban su dispositivo y pasan un bloqueo:
    • Se aplica lo mismo que lo anterior
  • Si roban CUALQUIER OTRO dispositivo que tenga instalada la voz de google, omita cualquier protección de contraseña (en Linux, Windows, Mac, esto es posible) Y tienen su contraseña o es un dispositivo confiable con un servicio, posiblemente podrían obtener el pleno acceso a cuentas.
  • Malware en su dispositivo 2FA o dispositivo de acceso.
  • Si presionan el enlace 'restablecer contraseña' en un sitio:
    • Si han phishing para obtener su contraseña de correo electrónico y NO TIENE 2fa en su correo electrónico Y tiene GV y correo electrónico en la misma cuenta (o el mismo pase en dos cuentas de Google diferentes), entonces Alan está exactamente en lo cierto de que esto es esencialmente no 2fa. Si TIENE 2fa en su correo electrónico, entonces sigue siendo 2fa. Pueden hacer phishing para obtener su contraseña de Google y, cuando la tengan, pueden ir a cualquier sitio web y seleccionar "Olvidé mi contraseña", pero no servirá de nada porque no tienen la segunda "cosa que tiene", es decir, un SEPARADO ( ver más abajo) cuenta GV para 2fa. El pase de gmail no les ayuda a ingresar al sitio. Pero NO QUIERES GV en la misma cuenta de gmail en la que está tu 2fa de todos modos (ver más abajo), por lo general, este será 2fa siempre que tengas contraseñas diferentes en cada cuenta.
  • (PUEDE BLOQUEARSE USTED MISMO: NO UTILICE LA MISMA CUENTA DE GOOGLE PARA AMBOS VOZ DE GOOGLE PARA RECIBIR 2FA Y LA CUENTA QUE ENVÍA EL 2FA)
• Una autenticación 'push' como Duo
  • Si roban el dispositivo:
    • Si pueden omitir la contraseña del dispositivo, pueden usar 2fa directamente.
  • Si roban cualquier otro dispositivo que tenga instalado un servicio de inserción
• Un generador de código:
  • Si roban un dispositivo:
    • Si pueden omitir la contraseña del dispositivo, pueden acceder directamente a 2fa.
  • Malware en su dispositivo 2FA o dispositivo de acceso.

En resumen, GV es o no es un 'gran error' según el nivel de riesgo que desee tomar. La generación de código o empuje es probablemente la más segura, pero cada una tiene sus propios vectores de ataque. El malware es muy improbable, pero no imposible (y todos, excepto los push, son vulnerables). Su dispositivo robado Y un atacante motivado que intenta secuestrar sus cuentas también es muy poco probable pero posible. Pero todos los métodos son vulnerables a que su dispositivo sea robado. GV agrega un riesgo adicional porque ahora CUALQUIER dispositivo GV que sea robado puede ser vulnerable a un ataque. Pero GV agrega una mayor conveniencia: puede ingresar a múltiples dispositivos, no tiene que ir a buscar su teléfono, puede verlo aparecer en su computadora portátil y simplemente ingresarlo. ¿Vale la pena el riesgo extra? (Tal vez hay un 2% de probabilidad de que te roben el dispositivo en un año (es cierto con cualquier método, pero peor con GV porque tienes otros dispositivos que pueden ser robados), y un 5% de probabilidad de que el atacante esté lo suficientemente motivado para secuestrar sus cuentas. Entonces ese es su riesgo absoluto, ¿vale la pena? Eso depende de usted.

Pero si va con GV, las sugerencias son:

• Asegúrese de NO usar 2FA con su cuenta de google EN LA MISMA CUENTA como GV
• Asegúrese de que TODOS sus dispositivos estén protegidos con contraseña / pin con una contraseña segura
• Tan pronto como note que un dispositivo es robado, cambie sus contraseñas y métodos 2fa para TODAS las cuentas importantes INMEDIATAMENTE
• Encienda 2fa para todas sus cuentas de correo electrónico (¡pero vea el primer punto!) su correo electrónico es un tesoro para los piratas informáticos debido a la capacidad de restablecer el historial y la contraseña.

(¿Piensa algún otro vector de ataque? ¿Correcciones? Déjeme saber y lo agregaré a la lista.)

El principal problema con esto sería que cuando alguien tiene malware en su computadora (como un registrador de teclas) podría obtener su contraseña de Google Voice, así como su contraseña de cuenta normal. Entonces podrían pasar la autenticación de dos factores. Si siempre accedes a Google Voice desde un sistema separado, técnicamente, sin embargo, serás dos factores.

Sí, es un error. Has hecho que tu cuenta sea más segura, pero no con un segundo factor.

Hay tres factores para la identificación: algo que sabes, algo que eres y algo que tienes.

En este caso, algo que tienes, se supone que es un dispositivo físico (tu teléfono móvil) al que solo tú (en teoría) tienes acceso.

Si bien Google Voice permite el tráfico de SMS, también permite que cualquier persona con una computadora, una conexión a Internet y sus credenciales puedan acceder a su SMS, por lo que ha reducido considerablemente el factor. En lugar de 2-factor, en realidad tiene un solo factor, una contraseña, que se usa dos veces: la contraseña de su sitio y la contraseña de su cuenta de voz de Google. Esto no es autenticación de 2 factores.

En realidad, no es diferente a hacer clic en el enlace "olvidé mi contraseña" y que me envíen el enlace de restablecimiento a su cuenta de Google (que es la misma cuenta utilizada para acceder a la voz de Google).

Un caso de uso que se ha ignorado en las respuestas hasta ahora es para aquellos que no pueden mantener su teléfono físico en sus personas en todo momento. Por ejemplo, si no le permiten su teléfono celular en el trabajo, argumentaría que usar Google Voice como su fuente de autenticación de dos factores es un gran paso para no tener la autenticación de dos factores. No, no es perfecto y es susceptible de riesgo, pero ese riesgo es mucho menos riesgoso de lo que sería simplemente dejar sus servicios solo como autenticación de contraseña.

Supongo que estoy diciendo usar el sentido común. Si puede mantener su teléfono encendido cada vez que necesite iniciar sesión en algún lugar, entonces no se moleste en utilizar Google Voice, ya que es un riesgo, pero si no siempre puede acceder a su segundo dispositivo de autenticación, haga que esa autenticación sea Google Voz para brindarte mayor seguridad que una única fuente de autenticación.

Si restringió el acceso a su cuenta de Google e implementó la autenticación de múltiples factores para acceder a ella antes de acceder a Google Voice, aumentaría el umbral de acceso no autorizado y sería más seguro de usar. Pero a menudo los usuarios tampoco usan PIN o cualquier otra cosa en sus dispositivos físicos y, por supuesto, tampoco pueden perderlo físicamente.

Si se compromete su número de teléfono, también puede cambiarlo fácilmente usando Google Voice.