Estaba leyendo sobre el último meta de seguridad para 2fa y descubrí que sms no es una forma segura de realizar la verificación del dispositivo debido a preocupaciones de phishing. Parecía que la mayoría de los artículos / blogs destacaban la importancia de la autenticación de notificaciones push. Esencialmente, usted recibe una notificación de inserción en su teléfono en cada intento de inicio de sesión, que le permite confirmar o rechazar el intento. Sin embargo, todo esto depende de que ya se hayan instalado aplicaciones de terceros, como Authy, que tienen las API que envían y reciben las notificaciones.
Sin embargo, exigir a los usuarios que ya tengan instalada una aplicación por separado sería prácticamente asesinar a los porcentajes de conversión, especialmente al principio. Sin embargo, parece que si tuviera que crear un sistema push endémico para mi aplicación, tendría la misma funcionalidad, al tiempo que eliminaría a un tercero, ya que todo lo que realmente están ofreciendo es una API existente (que parece fácilmente replicable). ¿Es esto correcto? ¿O me faltarían algunas características de seguridad que solo tienen las aplicaciones de terceros existentes?
(Supongamos que solo estamos preocupados por los ataques de phishing / MITM / ingeniería social que tienen como objetivo el robo de credenciales de inicio de sesión / contraseñas de un solo uso y no teléfonos reales robados, en cuyo caso mi propuesta tendría problemas obvios, ya que el impulso el sistema está vinculado a la aplicación en ese dispositivo físico)