Has tocado un poco de dolor; El uso de dispositivos inteligentes como credenciales de tipo algo-tienes-tiene tiene algunos inconvenientes.
Como señala, el dispositivo inteligente a menudo desempeña un papel activo en el proceso de autenticación además de ser la credencial del segundo factor. Esto no es tanto un problema como podría parecer a primera vista. El propósito de usar tu dispositivo inteligente como algo-que-tienes es que el atacante debe robar el dispositivo y simultáneamente tener acceso a tu contraseña para poder acceder a tu cuenta. Esto sigue siendo cierto, incluso cuando el dispositivo está haciendo ambas partes de la autenticación, pero tiene derecho a cuestionarlo, especialmente si almacena la contraseña en el dispositivo. En este caso, su autenticación de factor dual se convierte en un factor único: el dispositivo.
La otra razón por la que los dispositivos inteligentes hacen que las credenciales sean deficientes es que tienen una pila de software y, por lo general, ejecutan aplicaciones de terceros. En otras palabras, tienen malware. Un dispositivo inteligente infectado con malware es equivalente a un dispositivo inteligente robado en términos de uso como credencial.
El malware puede instigar el inicio de sesión, esperar y capturar los SMS / notificaciones entrantes, y leer el código del segundo factor para completar el inicio de sesión. En los casos más extremos, esto ocurrirá sin el conocimiento del usuario.
En resumen, no se preocupe demasiado: el hecho de conocer este problema es excelente, solo asegúrese de que el teléfono no almacene la contraseña ni proporcione el inicio de sesión automático. Bloquear la aplicación no es suficiente. el atacante aún puede leer directamente la contraseña almacenada en el disco duro del teléfono.
Y cuando se requiere seguridad real, use tokens de hardware que no puedan ser subvertidos, como los tokens TOTP / HOTP. Dicho esto, usar el dispositivo inteligente es mucho mejor que no tener ningún segundo factor.