La autenticación de 2 factores significa ingresar a la aplicación MÓVIL (usando el nombre de usuario y la contraseña) y ahí obtienes el código para ingresar a tu cuenta desde el navegador de la PC, ¿no?
Pero si el pirata informático tiene mi contraseña, ¿puede ingresar a la aplicación móvil sin iniciar sesión en dos pasos?
2FA significa tener dos factores para la autenticación, uno preferible es un factor físico ("saber" y "tener"). La idea es que de esta manera no es suficiente obtener la contraseña debido a piratería, fuga de datos, phishing, etc., sino que el atacante debe tener acceso adicional al dispositivo físico.
Hay muchos dispositivos físicos que se pueden usar con 2FA como tokens de seguridad, tarjetas inteligentes (por ejemplo, el "chip" en "chip y pin") o teléfonos móviles. Mientras que los tokens de seguridad o las tarjetas inteligentes por lo general deben comprarse explícitamente para este fin, los teléfonos móviles a menudo ya existen y pueden usarse como un segundo factor simplemente agregando alguna aplicación.
Hecho correctamente, el atacante no puede usar su propio móvil con su nombre de usuario y contraseña, sino que necesita tener acceso a su teléfono autorizado previamente, es decir, no solo necesita acceder a su contraseña ("saber") sino también a su teléfono. ("tener").
Lamentablemente, este "tener" también puede ser un acceso remoto si el teléfono móvil fue hackeado. Los dispositivos 2FA más limitados, como las tarjetas inteligentes o los tokens de seguridad, son más seguros a este respecto, pero también más costosos. Por lo tanto, los teléfonos móviles se consideran un método 2FA suficientemente bueno cuando se necesita una mejor seguridad que solo una contraseña, pero los dispositivos 2FA dedicados y más seguros son demasiado costosos.
La autenticación de 2 factores significa ingresar a la aplicación MÓVIL (con un nombre de usuario y contraseña) y luego, desde esa aplicación, obtienes códigos para ingresar a tu cuenta desde un navegador en un navegador de PC.
No, no, no lo hace.
Hay varios tipos de 2FA. Una es recibir un mensaje de texto. No ingresa sus site.com credenciales en su teléfono para recibir un mensaje de texto, le dice a site.com su número de teléfono cuando se registra.
Otro es TOTP. Configuró Google Authenticator, o similar, con site.com y ahora tienen un secreto compartido. No ingrese sus credenciales site.com para usar el Autenticador de Google.
También hay U2F, que ni siquiera involucra a tu teléfono.
La principal amenaza contra la que está diseñado el 2FA basado en dispositivos móviles no es la pérdida de su teléfono. Es contra un ataque de red. Es muy difícil imaginar cómo un atacante en una ubicación aleatoria del planeta puede falsificar su inicio de sesión en un sitio web si utiliza 2FA basado en el móvil y no tiene su teléfono. Tendrían que conseguir físicamente el teléfono. Aquí es donde entra en juego el segundo factor, algo que tienes.
El 2FA basado en dispositivos móviles hace un mal trabajo al agregar seguridad a la autenticación cuando su dispositivo móvil está en manos de un atacante.
Las ventajas de 2FA basado en dispositivos móviles es que, en comparación con 2FA basados en token, como RSA SecureID , es que Es más barato y más conveniente.
Para muchos casos de uso, la prevención de ataques remotos es una gran ganancia, por lo que 2FA basado en dispositivos móviles es una buena estrategia. Los artículos de Wikipedia sobre 2FA analizan los pros y los contras con más detalles.
Es concebible que exista una aplicación móvil en la que se pueda iniciar sesión con nombre / pase y que la aplicación tome el nombre / pase más un identificador único del dispositivo para generar un código que pueda ingresarse en un sitio web para la autenticación.
Creo que el OP quiere saber por qué el código generado sería necesario si el atacante ya tiene el nombre / pase. Puede razonar que si el atacante tiene el nombre / pase correcto y lo ingresa en la aplicación misteriosa, obtendría el código para ingresar en el sitio web. Sin embargo, la parte que falta el atacante es el identificador único en el dispositivo original, por lo que su código no sería válido.
Otro ejemplo sería cuando inicio sesión en Google. Tengo Google configurado para enviar un código de texto al iniciar sesión. Obtengo ese código en mi teléfono. Si inicio sesión en Google desde mi teléfono, el factor "2nd" se envía al mismo teléfono. Esto sigue siendo 2FA porque uno tiene que saber el nombre / pase y tener acceso al teléfono.
Si un atacante tiene acceso tanto al "saber" como al "tener", entonces todo está terminado. Al igual que si un ladrón tuviera las llaves de su casa y su código de alarma.
Lea otras preguntas en las etiquetas authentication multi-factor