Como @Limit señaló en el comentario de tu pregunta, el atacante primero tendría que desbloquear tu teléfono. Que es un problema. Pero no imposible. Pero por el bien de la discusión, supongamos que el atacante robó su teléfono en una posición desbloqueada (usted estaba sentado en una cafetería, revisando Internet, bajándolo, volteado para hablar con alguien, y alguien más lo robó, por ejemplo).
Para responder en una palabra, sí. Este compromiso es completamente posible, y parte de la razón por la que, personalmente, siento un poco de disgusto por las formas en que algunas empresas están implementando 2FA. Especialmente google, quien sabe a ciencia cierta que el usuario que usa su autenticador en su teléfono probablemente también tenga su correo electrónico en el mismo dispositivo.
Se supone que la trinidad de seguridad es esta:
- Algo que eres (nombre de usuario, huella digital, retina)
- Algo que sabes (contraseña, archivo de clave, otra mancha de datos)
- Algo que tienes (generador de OTP, llavero, yubikey)
El problema es que el usuario desea comodidad, y esto siempre representa una amenaza para este modelo. El factor clave en la forma en que funciona la trinidad es que estas cosas no deben superponerse.
- no uses tu nombre de usuario como tu contraseña
- no uses el mismo archivo de clave para tu "contraseña" que la clave pública de tu yubikey (o peor aún, privada)
- etc ...
Sin embargo, esta línea se está volviendo cada vez más borrosa, porque muchos usuarios desean que todas sus tareas relacionadas con la tecnología se agreguen en un dispositivo. Crea la situación en la que una persona convierte una contraseña (algo que usted sabe) en esencialmente un dispositivo que completa automáticamente la contraseña cuando es necesario. Conviértalo de manera efectiva en algo que ya no necesita saberlo, simplemente posea el dispositivo.
Esta situación se agrava al permitir que el mismo dispositivo también aloje el mecanismo de autenticación de software que se supone que convierte al dispositivo en un reemplazo para los llaveros.
Lo que esto crea en última instancia es la falsa sensación de seguridad cuando el usuario cree que tiene la trinidad de autentificación de nombre de usuario y contraseña, pero en realidad solo tiene un nombre de usuario y dos autenticadores, y ambos son un solo dispositivo.
Esto se hace incluso peor si piensa en cuánto de nuestras vidas están vinculadas a dicha cuenta de correo electrónico. No solo su propio correo electrónico, sino también cualquier servicio que se haya registrado con ese correo electrónico también tiene una política de restablecimiento que lo utiliza. De este modo, el atacante también puede transferir la propiedad de cualquier servicio a sí mismo a través de su único dispositivo. Además, el correo electrónico también proporciona una interfaz fácil de usar que buscará los servicios en los que se ha registrado. Todo lo que deben hacer es buscar "por favor verifique su correo electrónico haciendo clic aquí:" y aparece una lista de dominios en los que ha intentado registrarse.
Esto es algo sobre lo que trato de aconsejar a las personas cuando lo veo. Cada paso de seguridad se debe segregar tanto como sea posible dentro de restricciones razonables de usabilidad. Si tienes el autenticador de Google en tu móvil, no permitas que tu correo electrónico recuerde la contraseña de tu gmail. Si lo permite, use el autenticador en otro dispositivo, como un ipad, otro teléfono o su computadora. Existen algunas alternativas excelentes a los autenticadores tradicionales que funcionan con teléfonos y no requieren que se realicen operaciones en el propio teléfono. Al igual que el Yubikey NEO que tiene NFC habilitado. Incluso si su teléfono es robado, es probable que el yubikey no lo esté (por favor, no lo conecte al llavero que cuelga de sus teléfonos ...).
Estos métodos mantienen cada parte de la trinidad separada y, por lo tanto, mitigan el problema un poco. Siempre es importante definir claramente la línea entre cada parte de su estructura de seguridad. De lo contrario, comienzan a unirse hasta que, como en este caso, efectivamente se convierten en la misma parte de esa trinidad, dejando un vacío donde uno de ellos estuvo una vez.