¿Los teléfonos antiguos son más seguros / seguros / tan seguros como los teléfonos inteligentes modernos cuando se trata de tokens de autenticación / tokens?
¿SMS está encriptado?
Desde una perspectiva OpSec, diría que un segundo teléfono dedicado (tonto o inteligente) es una buena idea, siempre que trate el teléfono dedicado exactamente como eso: dedicado a un caso de uso exacto.
Minimiza la superficie de ataque porque será menos propenso a los ataques por Internet y elevará ligeramente su seguridad, aunque sea poco claro (de su número de teléfono bancario). Sin embargo, todo esto se reduce a qué tan bien opera su segundo teléfono.
Para ampliar el OpSec de ese segundo teléfono, con entrada de @schroeder y @ ste-fu:
En lo que respecta a su segunda pregunta, aquí hay una excelente y profunda respuesta sobre la intercepción / encriptación de SMS.
Como con la mayoría de las cosas, depende. Para la autenticación del Factor SMS 2, la respuesta es: no realmente
La red / compañía de telecomunicaciones que transmite los datos de SMS es la misma, ya sea un teléfono inteligente o un teléfono tonto. Los operarios del centro de llamadas que se diseñan socialmente pueden permitir adquisición del número relevante o la red real < a href="https://www.theregister.co.uk/2017/05/03/hackers_fire_up_ss7_flaw/"> puede ser hackeado e interceptado el SMS .
Si tuvieras una cuenta particularmente sensible, usar un teléfono tonto con un número único de SIM / teléfono para esa cuenta lo haría mucho más difícil para esa cuenta, pero tan pronto como comiences a usar el mismo número todo el tiempo, corre el riesgo de que ese número se asocie con todas sus cuentas.
NIST publicó una guía que dice que SMS 2FA está en desuso A pesar de que han retrocedido un poco
El uso de un teléfono tonto evita muchos problemas de seguridad presentes en los teléfonos inteligentes. Considero que un teléfono inteligente es más una computadora de bolsillo, con todas las vulnerabilidades de una computadora de escritorio.
El uso de un teléfono antiguo solo para recibir tokens protegerá el token en reposo , porque no habrá ningún programa en ejecución capaz de interceptar el token y enviarlo a otra parte. Pero no protegerá el token en tránsito .
Como su empresa de telecomunicaciones probablemente no es segura, el token PUEDE ser interceptado mientras está en tránsito, su compañía de telecomunicaciones puede ser engañada y transferir su servicio a otro usuario sin mucha validación ( ataque de intercambio de SIM ). Los comerciantes criptográficos suelen ser objetivos de este ataque.
Si es posible, no uses SMS para recibir tokens. Mi banco puede enviar tokens u obtener un número de una aplicación de autenticación. Utilicé este último.
Lea otras preguntas en las etiquetas multi-factor mobile phone sms