Uso 2FA en todos los servicios que lo admiten. Genero códigos de respaldo y los almaceno en una ubicación cifrada segura. Desafortunadamente, la mayoría de los servicios requieren una copia de seguridad de SMS, lo que representa un problema de seguridad, ya que un atacante podría engañar a mi compañía telefónica para que redirija mi número o lo transfiera a otro proveedor.
Para protegerme mejor contra esto, he considerado usar Twilio u otro servicio para crear un número que pueda recibir mensajes de texto. Luego, tendría esos números publicados en un lugar seguro que puedo verificar cuando espero recibir un mensaje SMS. Probablemente, la forma más fácil es configurar Twilio para publicar en un punto final de AWS Lambda que se publique en SQS.
Esto me parece un método más seguro y probablemente lo haré, pero no sé si entiendo todos los riesgos. Los problemas que se me ocurren son los siguientes:
- Es efectivamente la seguridad por oscuridad, ya que un atacante no sabría mi número de teléfono 2FA, pero si la base de datos de un sitio se ve comprometida, se conoce el número. ** Supongo que podría generar un número para cada sitio, ¡pero parece que podría ser caro!
- ¿Podría portarse el número sin el consentimiento de Twilio (o mi)?
- ¿Puede alguien interceptar un mensaje SMS de alguna otra manera?
Efectivamente, parece que mitigar todo esto depende del número 2FA que se desconoce. Tal vez podría usar números únicos para servicios altamente críticos como el correo electrónico y un número estándar para cosas menos importantes.