La autenticación multifactor requiere tener más de 2 de los siguientes:
- Algo que sabes (por ejemplo, secreto como una contraseña)
- Algo que tienes (por ejemplo, token o código proporcionado al dispositivo especificado)
- Algo que eres (biometría)
(También tenga en cuenta que hay nuevos conceptos para multifactor, pero estos son los básicos para MFA)
Google está usando un sistema donde tiene una contraseña y usando un código / pin de una sola vez (OTP). Esto significa que alguien no puede iniciar sesión en su cuenta sin conocer el código, pero no significa que no pueda secuestrar su sesión. Si han comprometido su estación de trabajo, red o navegador, entonces están viendo todo lo que ingresa, incluido este pin. Esto podría ser a través de un ataque clásico de hombre en el medio o hombre en el navegador .
La seguridad debe aplicarse en capas, por lo que el inicio de sesión en dos pasos proporciona un componente, pero no es una garantía absoluta ni una bala de plata. El atacante no puede iniciar sesión sin el código, por lo tanto, si desean iniciar sesión, deben comprometer su teléfono directamente (malware o aplicación maliciosa autorizada que puede leer mensajes de texto), poner en peligro su computadora para que puedan manipular el código en ejecución o reenvíe el código a un atacante cuando lo escriba o lo comprometa a través de la ingeniería social (por ejemplo, lo convencerán de que reenvíe el código por SMS con algún pretexto).
Por lo tanto, hace que sea mucho más difícil comprometer su cuenta, pero no es imposible. es decir, si su teléfono está apagado, tendrían dificultades. Si su teléfono estuviera apagado y no estuviera comprometido, y no lo ingresara en la computadora, tendrían dificultades. Hay algunos casos pendientes (por ejemplo, están haciendo algunos phreaking para interceptar sus SMS), pero generalmente es una actualización en la seguridad de su cuenta.