Supongamos que nunca, nunca , olvidaré la contraseña de mi cuenta (en este caso, Google).
Teniendo esto en cuenta, ¿hay algún beneficio en absoluto para configurar un correo electrónico / teléfono / etc de recuperación?
¿O todos estos servicios solo son útiles en el caso de una contraseña olvidada?
TL; DR
Es una muy buena idea tener estos juegos.
Además de las opciones de recuperación, también se pueden usar para configurar la autenticación 2Factor u otros tipos de verificación, así como un punto de respaldo para notificaciones sobre "Nuevo inicio de sesión desde XXX". Para ayudar a detectar actividades no autorizadas.
Además, considere el caso en el que alguien intenta forzar la entrada bruta de su cuenta y lo bloquea. Es posible que necesite el correo electrónico de recuperación para volver a entrar. Sin las opciones de recuperación establecidas, un atacante también puede ingresar a su cuenta a través del proceso de contraseña olvidada, ya que no tiene cuentas de respaldo para que Google pueda rescatarle.
Alguien podría hackear su cuenta y cambiar su contraseña pero no su información de recuperación (quizás porque el servicio impone un retraso entre el cambio de contraseña y la información de recuperación). Luego, podría usar el método de recuperación para recuperar su cuenta.
Después de leer sus comentarios, veo un defecto: si inicia sesión en el correo electrónico con su contraseña y usa el autenticador OTP en el mismo teléfono y ese teléfono se vio comprometido, entonces la ventaja del autenticador OTP es redundante .
Pero para responder a su pregunta original: parece que las opciones de recuperación no aumentan la seguridad a menos que haya sido hackeado.
Y si realmente te piratearon y quieres planear eso, si la otra respuesta acerca de las preguntas de recuperación se retrasa después de que se cambia la contraseña (lo que parece plausible pero debes probar primero), entonces apostaría a que una recuperación El número de teléfono sería una apuesta mejor que un correo electrónico de recuperación. Apostaría esto simplemente porque las vías para secuestrar un número de teléfono serían muy diferentes a las vías para secuestrar un correo electrónico, lo que básicamente significa más trabajo y más tiempo, y la seguridad es principalmente una cuestión de tiempo. Una vez más, querrá este número de teléfono en un teléfono diferente, pero tendrá que verificarlo con frecuencia para asegurarse de que aún estuviera activo y que su operador no lo haya cancelado y vuelto a publicar, o que incluso haya sido transferido a una cuenta en un transportista diferente, a petición de un pirata informático.
Entonces, para concluir, agregar un número de teléfono móvil introduce un nuevo punto de falla para que te piraten, pero, al mismo tiempo, puede reducir el daño causado si eres hackeado. ¡Parece una espada de doble filo!
Lea otras preguntas en las etiquetas account-security email