Quiero habilitar la autenticación de dos factores para mi cuenta de Outlook, pero no estoy seguro de qué método debo elegir o, en otras palabras, ¿qué método es más seguro?
Como he dicho, hay dos opciones: texto y llamada y creo que hay algunas ventajas y desventajas de ambos métodos.
La llamada es más segura, para leer su sms solo necesita un programa simple, mientras que para monitorear sus llamadas, necesita una persona real, lo que aumenta el esfuerzo necesario por mucho.
Leer sms es algo que puedes hacer en tantos teléfonos como quieras, mientras que escuchar esas llamadas al mismo tiempo es imposible (a menos que seas el NSA, supongo). Incluso si encuentra la forma de grabar la llamada y enviarla, el esfuerzo de programación aquí es mucho mayor y también necesita mucha más capacidad de procesamiento y ancho de banda, lo que reduce una vez más la posibilidad de que lo atrape.
editar: solo quiero agregar, por supuesto, los otros tipos que hablan sobre tu modelo de amenaza tienen razón. Si deja su teléfono tirado y la gente puede simplemente tomarlo y escuchar el código, por supuesto, sms sería mejor. Pero, de nuevo, si ni siquiera tiene un bloqueo, no importaría.
Como puede ver, sí, depende, pero si tiene un código de acceso y no deja el teléfono tirado, las llamadas son mejores.
Realmente dependerá de tu modelo de amenaza.
SMS puede ser más fácil de detectar o ser interceptado por una aplicación maliciosa en su teléfono. Entonces, si está preocupado por ese tipo de ataque, puede ser mejor usar la opción de llamada.
Sin embargo, la mayoría de los teléfonos no requerirán un desbloqueo del dispositivo para aceptar una llamada, por lo que si deja su teléfono desatendido, por ejemplo, en su escritorio (o si lo roban), puede usarlo para obtener un código, mientras que para un SMS usted podría bloquearlo. Por supuesto, la mayoría de las personas hoy en día nunca dejan el teléfono inteligente sin supervisión, pero esto es solo un ejemplo de cómo es importante definir el modelo de amenaza.
Para mí, como SEGUNDO factor de autenticador, si no puedo elegir un generador OTP como Google Authenticator, utilizo SMS para no tener que contestar llamadas, eso no siempre es conveniente, y también porque no veo SMS Olfateando como una posibilidad real en mis casos de uso. Sin embargo, como se señaló en los comentarios de @cornelinux, el autenticador de Google es vulnerable a ciertos ataques en la fase de "acuerdo secreto", así que nuevamente: defina y verifique su modelo de amenaza.
Ninguno. Tanto los SMS como las llamadas telefónicas se pueden reenviar a un teléfono de la elección de un atacante si ese atacante puede engañar a su proveedor de servicios móviles para que crea que él o ella es usted. Los ataques de secuestro de cuentas móviles como este no son extremadamente comunes (todavía), pero definitivamente son en aumento .
La mejor opción (como se mencionó brevemente en @Jedi) es usar una aplicación de autenticador para generar códigos únicos que se pueden usar como un segundo factor para iniciar sesión en su cuenta de MS. (Ya sea para acceder a Outlook.com o cualquier otro servicio de Microsoft para el consumidor). Puede encontrar información sobre cómo configurarlo exactamente aquí . En cuanto a la seguridad de este enfoque, en el peor de los casos, depende de la facilidad con la que un atacante puede (1) obtener la posesión física de su teléfono y robar el secreto compartido que utiliza la aplicación de autenticador para calcular códigos de un solo uso del almacenamiento del teléfono. o (2) comprometa completamente el teléfono mediante un ataque remoto y haga lo mismo. La dificultad que implica para un atacante hacer cualquiera de estas cosas depende bastante del sistema operativo, la configuración y los elementos de seguridad del hardware del teléfono. Pero es muy probable que, a lo largo de todo el proceso, tomar esta ruta haga que el trabajo de un atacante sea mucho más difícil que usar SMS o códigos de audio durante la llamada.
(Ahora, por supuesto, eso no significa necesariamente que el enfoque de la aplicación de autenticador de teléfono sea mejor que cualquier otra tecnología de autenticación posible que exista actualmente. Un enfoque de tarjeta inteligente o USB reforzado probablemente sería más sólido, al igual que un mecanismo de respuesta-desafío de alta seguridad implementado con un token de hardware dedicado [ejemplo] , como lo haría ... Pero aquí estamos hablando de opciones 2FA que la autenticación de la cuenta de Microsoft admite hoy.)
Depende de la frecuencia con la que necesite autenticarse y de cuál es su modelo de amenaza percibida. El hecho de que se escuche la llamada o que se detecten los SMS no debería ser importante, siempre que proteja su contraseña y esté atento a la actividad de su cuenta.
Personalmente, encuentro que el mecanismo de SMS llega más rápido y menos intrusivo (especialmente en clase o reuniones). Como dice @ user2765654, la detección de llamadas es más difícil de automatizar, pero las herramientas se volverán más comunes si ganan popularidad (reconocer números es la tarea de reconocimiento de voz más simple). Aún mejor sería utilizar una aplicación de autenticación. Creo que Outlook también es compatible con esto ahora.
Lea otras preguntas en las etiquetas multi-factor sms