EDIT: Como esta es todavía la respuesta aceptada, he realizado una serie de cambios en el texto a continuación para aclarar eso, mientras que el "por qué "es todavía" probablemente para la autenticación multifactor ", este método no es confiable.
Un número de teléfono permite una manera fácil de configurar la autenticación de dos factores para cosas como restablecimientos de contraseñas u otras acciones sensibles. Al llamarlo o enviar un mensaje de texto, el servicio puede confirmar que [acceder a] el teléfono [número] es una cosa que tiene . Una cuenta de correo electrónico es solo una cosa que sabes , lo mismo que una contraseña, porque puedes acceder a ella sin otra cosa que no sea una contraseña (y el identificador, en este caso, la dirección en sí, pero los identificadores). generalmente se consideran públicos). Por lo tanto, un flujo de restablecimiento de contraseña de dos factores podría ser algo como esto:
- Haga clic en "Olvidé mi contraseña" al iniciar sesión.
- Ingrese su dirección de correo electrónico, y el sitio le envía un enlace para restablecer la contraseña.
- Abra el enlace para restablecer la contraseña (que contiene un token secreto), lo que demuestra que la contraseña de su cuenta de correo electrónico es algo que sabe .
- El servicio le envía un mensaje de texto con un breve código secreto (posiblemente después de que confirme su número de teléfono).
- Usted ingresa el código del mensaje, lo que demuestra que su teléfono es algo que tiene .
- Se está completando la autenticación de dos factores, ahora puede establecer una nueva contraseña, iniciar sesión en el sitio, etc.
La ventaja para el proveedor de servicios es que ahora es mucho menos probable que tengan que gastar tiempo de servicio al cliente y una posible buena voluntad del cliente en la línea entre "No puedo recordar mi contraseña" y "alguien hackeó mi cuenta". Ese tipo de cosas puede suponer un importante derrumbe de costos, y si el sitio contiene algo delicado, puede causar daños a la reputación del sitio si no son lo suficientemente paranoicos.
Desafortunadamente, secuestrar números móviles no es tan difícil de hacer. Incluso dejando a un lado los ataques técnicos (torres celulares falsas o falsificando el teléfono o olfateando pasivamente el tráfico de radio para detectar el SMS que se envía), las compañías telefónicas han demostrado que no son confiables cuando se trata de autenticar correctamente a las personas antes de emitir un nuevo SIM con tu numero Como tal, los segundos factores de SMS o basados en llamadas deben considerarse una protección adicional débil, y no se debe confiar en definitivamente para la autenticación de un solo factor.
En cuanto a lo que el proveedor puede hacer con un número, bueno, en el peor de los casos sería darlo o venderlo a los robocallers, el equivalente telefónico de spam. Llamar a un número de teléfono móvil de esta manera es ilegal en los EE. UU. (Ya que somos el único lugar en el mundo en el que el destinatario paga las llamadas entrantes, ya sea a través de crédito prepago o minutos de uso, por lo que los mensajes comerciales sin un negocio existente) las relaciones están prohibidas) pero suceden de todos modos. Sin embargo, de manera realista, es poco probable que cualquiera de los sitios menos el más incompleto haga algo como esto (no dude en consultar su política de privacidad, aunque, por supuesto, no hay garantía de que no sea una mentira).
La segunda cosa peor sería usarlo para enviarte llamadas o mensajes no solicitados, pero creo que nunca he visto que esto suceda (verifica si hay "uso de tu información de contacto para marketing o promociones ... "y asegúrate de que no esté seleccionada).
En teoría, el número de teléfono puede ser útil para identificarlo personalmente (a través de un servicio de directorio / red social / agenda telefónica / lo que sea) y es mucho más fácil crear direcciones de correo electrónico desechables que números de teléfono desechables. Sin embargo, es poco probable. Si eres el tipo de persona que usa un nombre falso y una dirección de correo electrónico de un solo uso cuando te registras para algo, entonces poner tu número de teléfono real allí es obviamente un riesgo. De lo contrario, probablemente sea bastante inofensivo.