Supongo que la aplicación de autenticación es más segura que la de SMS porque en la aplicación no hay datos en tránsito una vez que configuras tu teléfono. Ahora, Google está empujando las indicaciones del teléfono como reemplazo de la aplicación de autenticación. ¿Es más seguro, considerando que implica datos en tránsito?
Google está usando notificaciones push para ese servicio, supongo. Esto coloca la seguridad aproximadamente equivalente a un MFA basado en SMS. Como señala, ambos brindan una oportunidad para que un atacante intercepte un código de autenticación destinado a usted o para encontrar una forma de convencer a Google de que les envíe el código directamente en lugar de su teléfono.
El análisis de seguridad de un sistema basado en notificaciones push frente a un sistema basado en SMS estará a la altura de los detalles del protocolo de transferencia (es decir, es más fácil interceptar el tráfico SMS que las notificaciones push, o viceversa). Esta es la pregunta interesante, y no sé la respuesta.
Sin embargo, ninguno de ellos será mucho más seguro que el otro, dadas las limitaciones inherentes de un método de autenticación basado en la red para "algo que tienes". La diferencia entre ellos y una aplicación HOTP / TOTP, o un dispositivo de hardware MFA, es mucho más y, a su vez, la diferencia entre usar cualquiera de estos métodos y usar la autenticación de factor único es aún mayor. Entonces, desde una perspectiva práctica, creo que la pregunta, aunque interesante, no importa: cualquier forma de MFA es mejor que no tener una, y si realmente te importa tu seguridad, deberías saberlo. utilizando un segundo factor no basado en la red.
Supongo que la razón principal por la que Google está implementando esto no es por una mayor seguridad sobre SMS 2FA, sino por la facilidad de uso (lo que significa que es más probable que las personas lo utilicen en lugar de renunciar por completo a MFA).
Hay riesgos inherentes en ambos métodos de Autenticación de 2 factores que mencionas: la aplicación de autenticación de Google y SMS. La determinación del nivel de seguridad no será en blanco y negro, dependerá de qué riesgos sean más aceptables para usted y su caso de uso.
Pero, para responder específicamente a tu pregunta: "¿Es más seguro, considerando que implica datos en tránsito ?" - No, no lo es.
Los métodos SMS de 2FA son susceptibles a lo que se conoce como 'SIM Swap' ataque. Los atacantes que han utilizado phishing y otros ataques de estilo de ingeniería social para obtener la información personal de las víctimas, incluidos los datos bancarios (y los datos de las redes sociales) convencen al proveedor de servicios móviles para que desactive la SIM actual y active una en los atacantes. posesión. Todos los nuevos SMS se envían al atacante, incluidos los 2FA SMS, en texto sin formato.
Todavía hay pros y contras para la aplicación y SMS 2FA - este artículo los resume bastante bien .
Personalmente recomendaría utilizar la autenticación basada en la aplicación tanto como sea posible, y aumentar la seguridad personal de mi dispositivo que controla ese autenticador.
Lea otras preguntas en las etiquetas authentication google multi-factor