Ya no usas SMS, por lo que no se pueden secuestrar SMS. Si te preocupas por un acceso de recuperación, no debes preocuparte.
Dice que tiene códigos de copia de seguridad e incluso tiene el código QR original que, de hecho, contiene la clave secreta sin cifrar , que se utiliza para calcular los valores TOTP de acuerdo con RFC 6238 . Usted (o el atacante) puede tomar este código QR en cualquier momento y crear una copia 1: 1 de la aplicación de teléfono inteligente del dispositivo de autenticación. Probablemente, nunca se bloqueará - si esto es lo que le preocupa.
Entonces, estás a salvo.
Pero ¿estás seguro? Puede leer mi publicación de blog anterior .
También puede activar U2F como se indica @ parth-maniar. Pero debe saber que U2F utiliza un certificado de certificación preinstalado con un número de serie único. (Bueno, esta es una característica de los certificados x509).
El par de claves que está registrando en google se deriva de la clave privada que pertenece a este certificado.
(Por favor, pon tu sombrero de papel de aluminio, ahora)
Por lo tanto, un posible vector de ataque para un Servicio de Inteligencia podría tener este aspecto: el certificado de certificación se pasa al servicio (Google) al registrarse. El Servicio de Intel podría pedirle a Google el número de serie de su certificado su . (Que Google no les daría!).
Luego, el Servicio de Intel podría ir a Yubico y pedirle a Yubico la clave privada que pertenece al certificado con su nubmer serie. (Que Yubico no tiene y no les daría!)
Ahora el Servicio Intel tiene su clave privada. Usando esta clave privada, el atacante puede iniciar sesión inmediatamente en todas las cuentas donde registró el dispositivo U2F. Lo bueno es que el Servicio Intel puede atacar a un proveedor de servicios "débil", donde se registró para vincular su nombre al número de serie. Y luego pueden iniciar sesión simplemente con su cuenta al proveedor de servicios "fuerte", que de otra manera no les daría su inicio de sesión o sus datos.
Imho U2F no es la salvación que dice ser.
(sombrero de papel de aluminio apagado)
;-)
Corrección el 25 de febrero de 2017
(desafortunadamente, la reducción no admite el tachado de palabras)
Obviamente, fui engañado por alguna otra publicación del blog y una especificación de FIDO que no es precisa acerca de la implementación hace aproximadamente 3-4 años. Los dispositivos U2F contienen un certificado de certificación, pero por lo general no son únicos para cada dispositivo. El certificado de certificación es solo para verificar el servicio, que se trata de un dispositivo de cierto tipo. Si compra un grupo de dispositivos U2F de un proveedor, probablemente todos tengan el mismo certificado y, por supuesto, las claves correspondientes. (Revisé esto yo mismo estos días)
Es probable que otro cliente obtenga el mismo certificado (y claves) que usted.
Sin embargo, un proveedor podría crear certificados de certificación individuales para cada clave o para cada cliente que compre un montón de fichas.
Sin embargo, un proveedor probablemente cambiará el certificado de certificación, si lanzan una nueva versión del dispositivo. Esto se debe a que el servicio debería ahora, si un dispositivo antiguo intenta registrarse o un dispositivo más nuevo, porque podría denegar el registro del tipo de dispositivo anterior.
Bueno, todavía tiene que confiar en el proveedor para que maneje el certificado de certificación correctamente, ya que esta es información de hecho que se envía a cada servicio, cuando se registra.
El proveedor de dispositivos U2F más conocido utiliza una clave maestra adicional , que está vinculada al certificado de certificación. Mi declaración anterior era incorrecta !
Por lo tanto, el Servicio de inteligencia, de hecho, por lo general no puede no identificar su dispositivo individual mediante el certificado de certificación. El IS tendría que ponerse en contacto con el proveedor con anticipación para pedirle que coloque certificados de atestación individuales.
¡Lamento el malentendido o haber causado un gran pánico! Sólo significa causar pánico de tamaño mediano! ;-)
... o la forma normal de hacer-no-cambiar-de-tu-cerebro-cuando-alguien-afirma-su-solución-es totalmente segura.