Funcionalmente, cuando usas SMS o la aplicación de autenticación en un teléfono móvil, haces que la seguridad se base en algo que tienes . Se ha utilizado durante siglos para las llaves de casa, por lo que no es fundamentalmente malo ...
Incluso puede hacer que se vea como un sistema 2FA si su teléfono requiere una contraseña cada vez que lo usa, y la tarjeta SIM también lo hace. Pero ... está limitado por construcción a aplicaciones basadas en teléfonos o tabletas.
La contraseña es algo que sabes y es casi tan antigua: las cajas fuertes que usan combinaciones también existen durante siglos. Usted ha mostrado el lado oscuro: una buena contraseña debe ser fácil de recordar para el propietario, e imposible de adivinar para cualquier otra persona ... lo que es realmente difícil de encontrar. Peor aún, las buenas prácticas recomiendan cambiarlo de forma regular, lo que es casi imposible.
Pero un sistema de base de contraseñas puede mejorarse simplemente con un almacén de contraseñas y un generador aleatorio correcto. Tales bóvedas existen en casi todos los sistemas, y algunos como el excelente keypass tienen versiones para diferentes sistemas operativos, que se pueden sincronizar localmente o mediante almacenamiento en Internet como DropBox. Entonces, la contraseña es aleatoria verdadera y se puede cambiar a voluntad, y la seguridad depende de la bóveda (que puede tener copias de respaldo) y la contraseña maestra que nunca se intercambia fuera del dispositivo (o PC).
Por lo tanto, su sistema puede ser mejor que una contraseña trivial, pero depende de un hardware específico, mientras que un sistema de contraseñas puede ser tan seguro, es completamente portátil y puede brindar protección contra la pérdida de dispositivos.
No quiero decir que los SMS o la aplicación de autenticación sean malos . Incluso estoy bastante seguro de que se ajustan perfectamente a algunos casos de uso, pero en mi humilde opinión, el buen sistema de contraseña todavía es apropiado para muchos otros.