¿Es la autenticación basada en el teléfono más segura que las contraseñas?

El uso de un teléfono es otra forma de utilizar la autenticación multifactor, y ciertamente mejora la seguridad si se realiza correctamente. No es un sustituto de una contraseña u otra información, pero a menudo la autenticación usa tanto "algo que tienes" como "algo que sabes" al mismo tiempo para verificar, ya que mitiga la posibilidad de que a) tu contraseña sea robada yb) tu contraseña. El teléfono es robado o hackeado.

Dicho de otra manera, si tiene su teléfono y alguien piratea su contraseña, esto puede impedir que obtengan acceso no autorizado. Si tiene su contraseña pero alguien roba su teléfono, esto puede impedir que obtengan acceso no autorizado. Alguien tendría que tener su teléfono Y conocer su contraseña para muchos cambios importantes, lo cual es una protección adicional.

Si bien es un método seguro, existen dos inconvenientes principales: 1) el obvio, que si el teléfono se pierde, es robado, reemplazado, está muerto, etc., todo este proceso es discutible. Si no hay contraseña, no hay solución. 2) Este es un proceso engorroso que la mayoría de los usuarios no querrían hacer. A pesar de estas dificultades, 2FA se está volviendo más común porque es mucho más seguro que SOLO una contraseña o SOLO un texto.

En términos de seguridad, esto no es necesariamente "más seguro" o "menos seguro" si utiliza un solo método (teléfono); Son susceptibles a diferentes formas de ataque. Puede considerarlo un poco más seguro en general, asumiendo que nunca le pasó nada al teléfono, pero eso es parte de la autenticación multifactor. Pero aun así, proteger el teléfono es solo la mitad de la batalla. Los ataques MitM para recibir el texto, por ejemplo, son nuevas amenazas aquí en comparación con una contraseña que usa SSL / HTTPS. Además, el valor aleatorio puede ser adivinado a través de ataques de arco iris.

Probablemente sería mejor forzar contraseñas más seguras para equilibrar la conveniencia.

La contraseña es algo que un usuario sabría, pero no necesariamente exponer. El teléfono es algo que mantienes cerca de ti, pero está expuesto regularmente, a veces se deja sin supervisión, periódicamente no está operativo.

El conocimiento puede ser secuestrado \ capturado cuando lo escribes y envías tus credenciales a través de la red.

El teléfono se puede quitar de usted en el transporte público o en la calle, etc. Puede agotar la capacidad de la batería. No puede iniciar sesión. La cobertura de la red puede desaparecer y dejarte indefenso.

Cambiar una contraseña suele ser una tarea trivial, ¿qué pasa con el teléfono? Voy al extranjero y podría estar usando un teléfono diferente, no un problema cotidiano, pero eso agrega un poco más de complejidad.

Puedo ver cómo el teléfono es una opción menos confiable con más riesgos externos y dependencia. También asumo que sus usuarios serían personas con diferentes tipos de teléfonos, operadores y hábitos, lo que posiblemente introducirá aún más escenarios en los que el teléfono dificultaría su capacidad para ser autenticados por su servicio.