¿Está muerta la autenticación de dos fases con SMS / voz?

Navega tus respuestas
0

Estoy considerando la implementación de un sistema de autenticación de dos factores para mi sitio web, utilizando el teléfono celular de un usuario como "algo que tienes" como parte de un sistema de dos factores. Parece que hay dos enfoques típicos para hacer esto:

  1. Envíe un código por SMS o mensaje de voz al usuario y pídale que ingrese el código en una página web para completar el inicio de sesión.
  2. Use una aplicación en el teléfono para generar un token TOTP y pida a los usuarios que ingresen el token para completar el inicio de sesión.

Me gustaría evitar el gasto y la complejidad de enviar un código por voz o SMS, pero ¿hay algún beneficio de seguridad o incluso de usabilidad que obtengo al respaldar la opción # 1? Por supuesto, un beneficio es una gama más amplia de teléfonos compatibles, ya que los SMS y la voz funcionan con los teléfonos con funciones y con los teléfonos inteligentes. Sin embargo, a medida que aumenta la adopción de teléfonos inteligentes, ese beneficio se reducirá. ¿Hay otros beneficios que proporciona SMS / voz? Si no es así, ¿la autenticación de dos fases con SMS / voz está muerta de forma efectiva?     

pregunta lreeder 24.02.2014 - 19:23
fuente

1 respuesta

1

El único beneficio que conozco al proporcionar autenticación de dos factores basada en SMS, aunque es potencialmente uno de los más importantes, es que brinda una mejor defensa contra la pérdida de cualquier teléfono en particular. Es decir, con TOTP, si pierde su teléfono, tiene que usar sus códigos de respaldo para cada sitio y generar una nueva clave con su nuevo teléfono. Hacer esto inevitablemente requiere la ubicación de sus códigos de respaldo, lo cual, si usted es una persona normal, probablemente no lo lleve consigo todo el tiempo. Por lo tanto, el proceso de arranque puede ser molesto. Con SMS, solo recibirás un mensaje de texto como de costumbre y seguirás tu camino alegre.

En la práctica, varios sitios que utilizo proporcionan TOTP como autenticación principal de dos factores, pero recurrirán a SMS para cubrir exactamente el segundo escenario. Ese parece ser un buen compromiso por el momento.

    
respondido por el Benjamin Pollack 24.02.2014 - 19:53
fuente

Lea otras preguntas en las etiquetas

¿El reinicio de una sesión cifrada aumenta la seguridad y desalienta los ataques? Anuncios incrustados en aplicaciones de teléfono, ¿qué es accesible?