A veces, cuando inicio sesión en Google, me pide que imprima algunos códigos de respaldo para el proceso de verificación en dos pasos. Esto parece una gran puerta trasera que me rompe todo el punto de verificación en dos pasos. Ninguno de los artículos de ayuda de Google aborda esta preocupación en absoluto.
¿Cuáles son las implicaciones de seguridad de imprimir códigos de respaldo?
Piense en ello como escribir su contraseña de inicio de sesión en un pedazo de papel, ya que ambos cumplen la misma función. Los riesgos asociados con él están relacionados con el acceso físico al lugar donde se almacena la impresión, instantáneas accidentales (imágenes de oficina) y similares, en algunos casos impares, incluso una cola de impresión podría permitir imprimir una segunda vez.
Al mismo tiempo, piense en almacenar información confidencial en memorias USB, puede considerar encriptar los archivos o la unidad USB completa, pero aún es propenso a perderla.
La navegación por los hombros también es un riesgo, si necesita el papel 5 veces al día, 5 veces al día, alguien puede estar mirando por encima de su hombro y anotando un par de dígitos.
Tiene razón en que este método de autenticación es menos seguro. Estoy seguro de que se enfrentaron a un escenario en el que esto era necesario, pero diría que a menos que usted mismo se enfrente con esa situación específica, ir con métodos de autenticación de 2 pasos es, en general, más seguro. . Por ejemplo, si usa su teléfono para recibir un token, un atacante necesitaría acceder a su teléfono y tendría que desbloquearlo, lo que, aunque no es imposible, agrega una capa adicional de complejidad.
La principal preocupación que tendría sobre los códigos de respaldo es que son demasiado cortos. El código GA ordinario tiene 6 dígitos, y cada código solo es válido por 30 segundos. Los códigos de respaldo tienen 8 dígitos, pero son válidos para siempre, hasta que se usen.
Una interpretación es que 6 u 8 son resistentes a las suposiciones cuando se combinan con la limitación de intentos por IP, y el más corto es tan largo como 6 dígitos solo para resistir la navegación desde el teléfono del propietario. Si el código tuviera cuatro dígitos, alguien podría recordarlo todo de un vistazo y posiblemente iniciar sesión dentro de la ventana de 30 segundos en una computadora cercana.
Sin embargo, solo 8 dígitos para el código de copia de seguridad todavía parece arbitrariamente tacaño. ¿Por qué no 12 o menos?
Lea otras preguntas en las etiquetas authentication