¿Existe alguna ventaja en el uso de hardware 2FA sobre SMS cuando ambos están disponibles? [duplicar]

1

Un banco ofrece autenticación de dos factores en dos formas. El primero es SMS a un número de teléfono registrado (el registro se realiza en la sucursal del banco). El segundo es un token de hardware proporcionado.

Ambas opciones se proporcionan para cada inicio de sesión (no tiene opción), luego de una autenticación exitosa usando una contraseña.

¿Qué beneficios (si los hay) hay de un usuario válido que elige la opción de token de hardware en la pantalla de inicio de sesión? Tenga en cuenta que un atacante con la contraseña correcta siempre puede activar la opción de SMS.

Nota a los comentarios: sé que SMS es "más débil" que un token de hardware para la implementación de 2FA.

    
pregunta User43234 28.10.2016 - 02:03
fuente

2 respuestas

2

Responsabilidad.

Si el banco le ofrece dos niveles de seguridad y usted elige el más bajo, entonces está aceptando la seguridad más baja. Si esa menor seguridad se ve comprometida (como lo indica Xiong), usted acepta esa responsabilidad.

Hubo un caso judicial (en los EE. UU.) en el que un banco ofreció 2FA y el cliente no optó por usarlo en absoluto. Al cliente le robaron dinero. El banco se negó a compensarlos y afirmó que el cliente aceptó esa responsabilidad cuando no usó el 2FA. Corte acordada. Cliente apelado (pendiente).

Entonces, si usted es el cliente, y siempre toma el HW 2FA, y alguien piratea con SMS, entonces tiene una mejor defensa legal.

(En ocasiones, las preguntas de seguridad no son sobre seguridad, son problemas legales).

    
respondido por el MikeP 28.10.2016 - 03:04
fuente
3

SMS no es tan intrínsecamente seguro como un algoritmo de ejecución local como HOTP; Siempre existe la posibilidad de un compromiso en la red. Sin embargo, para la mayoría de las personas, esto no está dentro de su modelo de amenaza.

Personalmente, no uso SMS como segundo factor, porque no está en mi configuración. Hace tiempo que uso Google Voice y ahora uso Google Fi, por lo que también se puede acceder a mis mensajes de texto a través de mi cuenta de Google. Esto ya no lo convierte en un "algo que tienes", sino en otro "algo que sabes".

Los tokens basados en hardware tienen una protección adicional sobre los tokens basados en teléfono (incluso las aplicaciones HOTP / TOTP) porque operan en un hardware mucho más simple: es mucho más difícil comprometer un Yubikey que un teléfono Android.

    
respondido por el Xiong Chiamiov 28.10.2016 - 02:16
fuente

Lea otras preguntas en las etiquetas