En un comentario a esta pregunta se afirma que la autenticación de dos factores no mejora realmente la seguridad, y esta Semana de Seguridad Man in The Browser ataca pero estos no parecen estar relacionados.
Me doy cuenta de que la buena seguridad tiene capas y solo porque 2FA tiene fallas no significa que no sea buena, pero ¿es realmente tan vulnerable que es más una pérdida de tiempo encenderla?
El artículo al que se refiere está hablando de SMS como el segundo factor. Una mejor práctica es usar una aplicación de autenticador (como google authenticator) como segundo factor. Esto le da un código que solo es válido en una ventana pequeña. De todos modos, si tienen acceso a tu teléfono, esto también te ayudará.
El problema con SMS como segundo paso de verificación es que tiene varios riesgos. El NIST ya no aconseja utilizar la autenticación de 2 factores basada en sms ( enlace sección 5.1.3.2 . Verificadores fuera de banda)
Entonces, cuando sea posible, use 2FA pero con una aplicación de autenticador.
Entonces, ¿por qué harías la autenticación de dos factores? Se trata de elevar el listón para el atacante. ¿Cómo puedes subir el listón para el atacante? Al introducir un desafío que no está dentro del perfil de habilidad del atacante clásico. ... como necesitar que el atacante robe físicamente algo.
Esta es la idea original detrás de 2FA como se introdujo, por ejemplo. en 1986 por RSA con su token de seguridad RSA. Desafortunadamente, este algoritmo propietario no se implementó muy bien, por lo que necesitaba ser mejorado continuamente. Además: si un atacante roba las claves secretas de los dispositivos de hardware, nuevamente la posesión física es inútil.
Como indicaron John y el NIST, SMS no es la mejor idea para implementar 2FA. Obviamente, todavía es mejor que no usar un segundo factor y solo una contraseña débil .
Pero también las aplicaciones de teléfonos inteligentes tienen sus vectores de ataque. No solo en el teléfono inteligente sino también durante el proceso de inscripción. Escribí el artículo del blog de la costa sobre eso. enlace
Finalmente, si estás hablando de man en el navegador, por supuesto, 2FA solo te protege en el breve momento de la autenticación. Si está utilizando un protocolo no cifrado, el atacante puede simplemente rastrear y robar los datos sin comprometer su inicio de sesión. Si su computadora está llena de troyanos, el atacante también puede apuntar directamente a sus datos sin la necesidad de apuntar al proceso de autenticación.
Lea otras preguntas en las etiquetas man-in-the-middle multi-factor