Eliminando la contraseña en favor de la autenticación basada en SMS y aplicaciones

Funcionalmente, cuando usas SMS o la aplicación de autenticación en un teléfono móvil, haces que la seguridad se base en algo que tienes . Se ha utilizado durante siglos para las llaves de casa, por lo que no es fundamentalmente malo ...

Incluso puede hacer que se vea como un sistema 2FA si su teléfono requiere una contraseña cada vez que lo usa, y la tarjeta SIM también lo hace. Pero ... está limitado por construcción a aplicaciones basadas en teléfonos o tabletas.

La contraseña es algo que sabes y es casi tan antigua: las cajas fuertes que usan combinaciones también existen durante siglos. Usted ha mostrado el lado oscuro: una buena contraseña debe ser fácil de recordar para el propietario, e imposible de adivinar para cualquier otra persona ... lo que es realmente difícil de encontrar. Peor aún, las buenas prácticas recomiendan cambiarlo de forma regular, lo que es casi imposible.

Pero un sistema de base de contraseñas puede mejorarse simplemente con un almacén de contraseñas y un generador aleatorio correcto. Tales bóvedas existen en casi todos los sistemas, y algunos como el excelente keypass tienen versiones para diferentes sistemas operativos, que se pueden sincronizar localmente o mediante almacenamiento en Internet como DropBox. Entonces, la contraseña es aleatoria verdadera y se puede cambiar a voluntad, y la seguridad depende de la bóveda (que puede tener copias de respaldo) y la contraseña maestra que nunca se intercambia fuera del dispositivo (o PC).

Por lo tanto, su sistema puede ser mejor que una contraseña trivial, pero depende de un hardware específico, mientras que un sistema de contraseñas puede ser tan seguro, es completamente portátil y puede brindar protección contra la pérdida de dispositivos.

No quiero decir que los SMS o la aplicación de autenticación sean malos . Incluso estoy bastante seguro de que se ajustan perfectamente a algunos casos de uso, pero en mi humilde opinión, el buen sistema de contraseña todavía es apropiado para muchos otros.

El inicio de sesión basado en SMS o autenticador puede proporcionar una mejor seguridad en el sentido de que niega muchos ataques como el diccionario y la fuerza bruta. Sin embargo, no es un mecanismo a prueba de fallos.

Hay algunos problemas que se producen cuando solo usas sms o sistemas basados en aplicaciones:

• Si pierdes tu teléfono, no puedes iniciar sesión hasta que obtengas un nuevo simulador como mínimo.

• Si pierdes tu teléfono y me encuentras con una persona maliciosa, es muy probable que tu correo electrónico se sincronice en tu teléfono. Pueden intentar iniciar sesión en su sitio web y tanto el correo electrónico (una de sus alternativas) como los tokens basados en sms estarán disponibles para el atacante.

Como ya mencionaste en tu pregunta, el factor 2 es mejor que esto. Si tuviera que usar un solo factor, sería mejor elegir uno que siempre se garantice que el usuario conozca.

EDIT : hubo un comentario sobre el cifrado del dispositivo y los códigos de acceso para proteger el sistema. La mayoría de los teléfonos Android que he visto utilizan patrones que no son muy seguros como mencionado en Android SE . Además, si usar esta técnica dependerá del modelo de amenaza y de las suposiciones sobre el nivel de madurez del usuario. Si se espera que los usuarios de su aplicación mantengan sus dispositivos a salvo, entonces de lo contrario, es un gran riesgo.

Opinión: Estoy de acuerdo en que si pierden su teléfono, puede tener una solicitud de contraseña olvidada pero eso no es lo suficientemente bueno para mí.