En términos generales, todos estos productos de seguridad son lo suficientemente sólidos para los usuarios finales ocasionales. Cuando se trata de usuarios finales, la mayoría de las vulnerabilidades provienen de la forma en que la persona las usa, no de la debilidad del método en sí. Por ejemplo, ¿deja su tarjeta RSA SecureID donde sus hijos pueden acceder fácilmente a ella? Si usa una aplicación de generación de código, ¿su teléfono tiene un bloqueo de contraseña seguro?
Como lo mencionó @SteffenUllrich, si obtiene spyware en su dispositivo móvil con acceso de root, lo cual es más común de lo que podría esperar (consulte StageFright y descargas drive-by ), entonces su SMS, correo electrónico y quizás incluso los métodos basados en aplicaciones podrían verse comprometidos.
Creo que si tiene cuidado con la forma en que lo usa y tiene buenas prácticas de seguridad en sus dispositivos, entonces cualquiera de estos métodos está bien para el usuario final promedio preocupado por el drive-by (es decir, no dirigido) crackeo de contraseñas de fugas de base de datos. Si quieres ir más allá y sacrificar algo de comodidad, supongo que el pedido será SMS/email < app/OTP/TOTP < hardware token
.
Ahora, si no es un usuario final "promedio", sino un objetivo de alto valor en el que los actores del estado nación están tratando de penetrar, entonces todo cambia. Por ejemplo, si se ha hecho enemigos con la NSA del gobierno de los EE. UU., Pueden rastrear cualquier código que se le envíe por SMS o correo electrónico, y es probable que puedan detectar los paquetes de la primera instalación de la aplicación Google Authenticator (o, ya sabe , simplemente pregunte a Google por el código). En este caso, los tokens de hardware realmente son rey porque están completamente "fuera de banda" (es decir, nada sensible cruza internet).
Solo para completar, aquí hay una copia de la etiqueta wiki de etiqueta multi-factor (que escribí).
Puedes dividir los métodos 2FA en tres categorías amplias:
Algo que sepa : información, como una contraseña, el apellido de soltera de su madre o una clave pública almacenada en un archivo de claves.
Algo que tiene : generalmente un objeto físico como el teléfono que puede recibir SMS en su número, o un token de contraseña única (OTP) o una tarjeta inteligente habilitada para clave pública / Memoria USB:
-
Algo que eres : también conocido como "biométrico", como huellas digitales, iris, voz, ritmo de escritura, etc.
La razón para dividir los métodos de autenticación en estas categorías es que cada una requiere un tipo de robo muy diferente para que un hacker lo adquiera.
Si se le solicita que proporcione una prueba de identidad de más de uno de los catogorías anteriores, entonces es correctamente "Autenticación de dos factores" o "Autenticación de múltiples factores". Si proporciona varios elementos de la misma categoría , se denomina "Autenticación de varios pasos", que obviamente es más débil que el factor múltiple.