El caso
Estoy usando la verificación de 2 pasos de Google.
La pregunta
¿Por qué Google utiliza un código como segundo paso? ¿Por qué no solo una aplicación de Android donde puedes hacer clic en "Soy yo"?
Si dos o más personas intentan acceder a la misma cuenta al mismo tiempo y solo uno de esos usuarios es legítimo, la aplicación no podrá saber qué intento de inicio de sesión debe verificar, sin que el usuario se identifique. su intento particular de alguna manera.
Como tal, tiene sentido para el usuario aplicar un código directamente a su sesión. También es notable que los códigos se generan fuera de línea, en base a un tiempo secreto y de dispositivo. El uso de un botón "Soy yo" requeriría un servidor intermediario a través del cual la aplicación web y la aplicación móvil confirmen la solicitud de autenticación. Esto agrega gastos a la aplicación e introduce dependencias, un punto de falla y un punto potencial de vulnerabilidad.
@Scott si alguien puede falsificar una notificación de "soy yo", eso significa que ha robado el secreto original. Él podría ser el código de su MFA
Imagina que estás iniciando sesión en tu cuenta de Google, y un hacker también está intentando iniciar sesión en tu cuenta de Google. Ambos están en la etapa de maestría. Sólo tú tienes el dispositivo MFA.
Presionas el botón "Soy yo" para autenticar ... ¿Cuál de las 2 sesiones pendientes se autentica? La idea "Soy yo" solo funciona si selecciona la sesión correcta. En cuyo caso un código es más sencillo y seguro.
En cualquier caso, la notificación "ese soy yo" puede ser una respuesta a un desafío enviado por el servidor de autenticación en su sesión. En cuyo caso se le notificará si un atacante intentó iniciar sesión. ¿Alguna idea de por qué no funcionaría?
Puedo ver a qué te refieres con el dispositivo que está siendo notificado del intento y luego lo confirmas con la aplicación. No es un diseño inviable. Supongo que, en última instancia, se trata de ventajas y desventajas:
Su método sugerido:
El método de código actual:
Lea otras preguntas en las etiquetas authentication google multi-factor