Actualmente quiero iniciar el desarrollo web donde haré un sistema de inicio de sesión y quiero una alternativa para almacenar contraseñas.
La pregunta es: ¿es seguro usar la aplicación Google Authenticator como inicio de sesión principal junto con la autenticación de SMS como segundo tipo de autentificación? Si no, ¿es seguro usar la autenticación de Google y la autenticación de SMS como la forma principal de iniciar sesión?
Cuando se trata de seguridad, hay tres paradigmas principales:
Algo que tienes se puede interpretar como un llavero RFID, el Autenticador de Google, una clave RSA, etc. Cualquier objeto físico o cosa que necesite para autenticar.
Algo que sabes se interpreta comúnmente como una contraseña, pero también podría ser una secuencia de colores o formas. Algo que tienes que memorizar.
Algo de ti . Esto es bio-métricas: su huella de voz, su huella digital, un escaneo de su retina, un escaneo topológico 3D de su mano, cómo camina, su ADN.
El estándar actual de la industria para la autenticación se está moviendo hacia un sistema de dos factores como una línea de base. Esto solo significa que necesita dos de los tres paradigmas de autenticación.
Usted utiliza la autenticación de Google o Facebook como uno de sus sistemas de dos factores, cumple la parte algo que sabe de la ecuación, ya que el usuario debe conocer su información de inicio de sesión para Google o Facebook.
El envío de un mensaje de texto a un usuario cumple la parte algo que tienes de dos factores.
La implementación de ambos en su esquema de autenticación lo pondrá aproximadamente uno o dos años por delante de una gran parte de la industria de las aplicaciones. Su único problema real será cómo proteger los hashes que recibe de Google / Facebook, sobre la creación de la cuenta del usuario y los números de teléfono asociados con los usuarios.
Si su tabla con los hash de Google / Facebook o los números de teléfono de los usuarios se ven comprometidos, entonces es básicamente el mismo que el usuario que da sus contraseñas.
NO debes confiar solo en "algo que tienes" para iniciar sesión. De alguna manera, se puede decir que MENOS es seguro que una contraseña (suponiendo que se use una contraseña segura), porque un teléfono se pierde fácilmente o se lo roban; aunque es cierto que es menos susceptible a grandes ataques que intentan obtener un gran porcentaje de sus usuarios sin apuntar a ninguno de ellos específicamente.
Si no quiere molestarse en solicitar contraseñas y almacenar sus hashes usted mismo, o simplemente no quiere lidiar con los problemas difíciles relacionados con la autenticación, busque OpenID o Facebook Connect o un servicio similar que le permita le pide a un tercero de confianza (por ejemplo, Google) que autentique al usuario por usted en lugar de hacerlo usted mismo.
Lea otras preguntas en las etiquetas authentication sms