He estado investigando los diversos pros / contras de la autenticación de dos factores basada en tokenless token (particularmente basada en SMS) y tradicional (piense en RSA SecurID). Después de investigar un poco, creo que entiendo mejor las dos opciones en lo que respecta a la facilidad de uso, el costo, etc., pero tengo problemas para encontrar un buen análisis independiente en profundidad de la seguridad de cada solución.
Como lo entiendo hasta ahora, 2FA sin token es más barato y más fácil de implementar. También aprecio que algunas personas tienen menos probabilidades de olvidar su móvil que de olvidar su token OTP. Las desventajas incluyen el hecho de que se requiere cierto nivel de recepción de SMS, aunque los proveedores han producido soluciones para solucionar esto, incluido el envío del siguiente código inmediatamente después de que se usa el último, los códigos de "uso diario" y el envío de múltiples códigos en cada SMS. ¿Tengo razón al pensar que estas "soluciones" son en realidad un poco un compromiso de seguridad? Si es así, ¿cuánto de un compromiso son, de manera realista? También he escuchado a algunos decir que pasar por el proceso de recibir los SMS cada vez puede ser una molestia para los usuarios regulares, ya que los tokens tradicionales son más prácticos. ¿Alguien ha encontrado que este sea el caso?
Las ventajas de los tokens OTP tradicionales incluyen el hecho de que no se requiere la recepción del teléfono, y son prácticos para los usuarios regulares. ¿Recomendaría implementar tokens tradicionales para los empleados que viajan internacionalmente (debido a problemas de recepción móvil)?
Dado que 2FA sin tokens es más barato y más fácil de implementar, pensarías que los tokens tradicionales pasarán de moda mucho más rápido que ellos. Si tuviera que creer en el material de marketing de compañías como SecureEnvoy, los días de los tokens OTP tradicionales están contados. Sin embargo, tengo la impresión de que este no es el caso. Esto me lleva a pensar que muchas empresas se apegan a los tokens físicos tradicionales porque creen que son más seguras que las 2FA sin fichas. ¿Es este el caso, o se debe a algún otro factor? ¿Las soluciones tradicionales, como RSA SecurID, solo se comercializan en la posición de mercado que han establecido en el pasado, o aún existe un caso para las fichas físicas?
En la primera inspección, los tokens blandos parecen proporcionar algunos de los beneficios de los tokens basados en SMS, sin el requisito de recepción de SMS. Si los usuarios tienen teléfonos inteligentes, ¿sería esa una mejor opción? ¿Es fácil implementar tokens blandos a través de SMS para usuarios de teléfonos inteligentes, o hay otros factores a considerar?
Soy consciente de que realmente he hecho algunas preguntas relacionadas, así que, solo para resumir, mis preguntas son:
a) ¿El 2FA sin token (en particular, basado en SMS) es un compromiso de seguridad sobre los tokens tradicionales?
b) ¿Los tokens físicos siguen siendo populares solo porque se han probado y probado, con compañías como RSA que cotizan en la reputación que han establecido, o aún existe un caso objetivo para apegarse a los tokens físicos?
c) ¿Se ha encontrado que las personas basadas en SMS 2FA no son prácticas para los usuarios normales y se encuentran implementando tokens físicos para esos usuarios?
d) ¿Las soluciones como los códigos de "uso diario" y los códigos múltiples en un solo SMS son un compromiso de seguridad en comparación con el valor predeterminado de códigos únicos que se envían y almacenan en un SMS?
e) Para los usuarios de teléfonos inteligentes, ¿es una tarea fácil de implementar tokens en lugar de confiar en 2FA basado en SMS?
f) ¿Puede alguien dirigirme a alguna literatura apropiada que debería leer para realmente tener una idea de algunos de los problemas anteriores?
Las preguntas están muy relacionadas, así que las he mantenido todas juntas. Déjeme saber si cree que debería separar lo anterior en preguntas separadas de StackExchange.