¿Un segundo teléfono “viejo” (tonto) está dedicado solo a recibir tokens bancarios tan seguro como el teléfono “moderno” (inteligente)?

Desde una perspectiva OpSec, diría que un segundo teléfono dedicado (tonto o inteligente) es una buena idea, siempre que trate el teléfono dedicado exactamente como eso: dedicado a un caso de uso exacto.

Minimiza la superficie de ataque porque será menos propenso a los ataques por Internet y elevará ligeramente su seguridad, aunque sea poco claro (de su número de teléfono bancario). Sin embargo, todo esto se reduce a qué tan bien opera su segundo teléfono.

Para ampliar el OpSec de ese segundo teléfono, con entrada de @schroeder y @ ste-fu:

• Utilice una tarjeta SIM / número de teléfono dedicado para realizar transacciones bancarias (y no comunique este número a otros, excepto a sus bancos)
• No lo uses para navegar
• No lo use para mensajes / comunicaciones con nadie, excepto sus bancos
• (teléfono inteligente) No instale aplicaciones en él
• Manténgalo en un lugar seguro especialmente si es un teléfono tonto sin protección de bloqueo de pantalla (PIN / patrón, etc.)
• (teléfono inteligente) Deshabilita las notificaciones de bloqueo de pantalla / oculta el contenido
• Deshabilitar datos móviles y WiFi
• Apágalo cuando no lo estés usando. Esto no es realmente una necesidad, pero le impedirá comprometer su OpSec. El error humano siempre es posible.

En lo que respecta a su segunda pregunta, aquí hay una excelente y profunda respuesta sobre la intercepción / encriptación de SMS.

Como con la mayoría de las cosas, depende. Para la autenticación del Factor SMS 2, la respuesta es: no realmente

La red / compañía de telecomunicaciones que transmite los datos de SMS es la misma, ya sea un teléfono inteligente o un teléfono tonto. Los operarios del centro de llamadas que se diseñan socialmente pueden permitir adquisición del número relevante o la red real < a href="https://www.theregister.co.uk/2017/05/03/hackers_fire_up_ss7_flaw/"> puede ser hackeado e interceptado el SMS .

Si tuvieras una cuenta particularmente sensible, usar un teléfono tonto con un número único de SIM / teléfono para esa cuenta lo haría mucho más difícil para esa cuenta, pero tan pronto como comiences a usar el mismo número todo el tiempo, corre el riesgo de que ese número se asocie con todas sus cuentas.

NIST publicó una guía que dice que SMS 2FA está en desuso A pesar de que han retrocedido un poco

El uso de un teléfono tonto evita muchos problemas de seguridad presentes en los teléfonos inteligentes. Considero que un teléfono inteligente es más una computadora de bolsillo, con todas las vulnerabilidades de una computadora de escritorio.

El uso de un teléfono antiguo solo para recibir tokens protegerá el token en reposo , porque no habrá ningún programa en ejecución capaz de interceptar el token y enviarlo a otra parte. Pero no protegerá el token en tránsito .

Como su empresa de telecomunicaciones probablemente no es segura, el token PUEDE ser interceptado mientras está en tránsito, su compañía de telecomunicaciones puede ser engañada y transferir su servicio a otro usuario sin mucha validación ( ataque de intercambio de SIM ). Los comerciantes criptográficos suelen ser objetivos de este ataque.

Si es posible, no uses SMS para recibir tokens. Mi banco puede enviar tokens u obtener un número de una aplicación de autenticación. Utilicé este último.