Dlaczego powinienem używać aplikacji Google Authenticator zamiast SMS?

10

Korzystam z dwuskładnikowego uwierzytelnienia Google, ponieważ wiem, że dostęp do mojego konta e-mail jest kluczem do wszystkich moich innych kont .

I ... to dość denerwujące - często wymieniam komputery i inne urządzenia i używam wielu natywnych aplikacji, które potrzebują dostępu do moich kont Google, ale wiem, że przynajmniej muszę to zrobić, aby chronić swój e-mail, ponieważ jest to jedyną rzeczą, którą dzielę ode mnie, nie są studnie, które mogą chcieć zresetować moje hasło do serwisu Netflix i przesyłać strumieniowo złe filmy, które mogą zepsuć moje rekomendacje.

Podstawowym sposobem uzyskania potrzebnego kodu logowania (oprócz hasła) do uwierzytelniania dwuskładnikowego Google jest aplikacja Google Authenticator, którą można zainstalować na telefonie.

Ale jeśli nie masz go zainstalowanego, nie jest skonfigurowany lub coś innego nie działa, wyślemy Ci kod przez SMS, który jest przedstawiany jako metoda tworzenia kopii zapasowych. Co prowadzi mnie do mojego pytania. Zakładając, że czuję się dobrze z bezpieczeństwem mojej komunikacji SMS:

Czy SMS nie jest lepszym sposobem na uzyskanie kodów, przynajmniej z punktu widzenia wygody?

Jeśli wyłączę uwierzytelnianie (wyzwalanie kodów SMS), ilekroć potrzebuję kodu, jest on natychmiast przesyłany do mojego telefonu, bez żadnych działań ode mnie, i pojawia się na każdym ekranie, na którym jestem. Skończyłem.

Przy uruchomionym programie Authenticator muszę odblokować telefon, otworzyć program uwierzytelniający, wybrać odpowiedni kod (mam dwa konta Google), mam nadzieję, że kod nie wygasa (tekst wysyła taki, który jest „świeży”) itp.

W pełni rozumiem, że SMS jest nieco mniej chroniony: ktoś, kto ma mój telefon (i prawdopodobnie moje hasło), ale nie może odblokować telefonu, widzi powiadomienia SMS, ale nie może otworzyć programu Authenticator. Ale to długa szansa. Istnieje również fakt, że usługi, takie jak iMessage, wypychają SMS-y na inne urządzenia, takie jak komputery Mac, iPady itp. Ale znowu, zakładając, że jestem dobry w kontrolowaniu dostępu do moich SMS-ów:

Czy jest jakiś powód, aby korzystać z aplikacji Google zamiast otrzymywać SMS-y?

google-account security authentication multi-factor-auth google-authenticator Jaydles
źródło

Odpowiedzi:

9

Authenticator działa nawet wtedy, gdy nie masz żadnej dostępnej sieci dla swojego smartfona.

Nie wiem o twoim dostawcy telefonii komórkowej, ale nie ufam, że moje dostarczą wiadomości SMS w sposób podobny do terminowego.

Poza tym jest bardziej bezpieczne, jak zauważyłeś.

ale
źródło
Google Authenticator jest wyposażony w wizualny minutnik, dzięki czemu zawsze wiesz, kiedy kod się zmieni. Wybór odpowiedniego kodu jest również łatwy. Mam 6 kont (2 Gmail) w programie Authenticator
Kevan Sheridan,
To świetna odpowiedź - nie myślałem o tym. Przyjmie jutro, zakładając, że nic więcej nie wydaje się bardziej odpowiednie. Z ciekawości wiesz, jak to działa bez połączenia? Zakładam, że po prostu buforuje kilka kodów w aplikacji, więc masz dość, aby wypełnić pewien okres czasu, chociaż myślę, że może również wygenerować je w aplikacji (przypuszczalnie na czas nieokreślony) w części, która jest replikowana po stronie serwera.
Jaydles,
Nie mam szczególnego wglądu w Google's Secret Sauce ™. Przeczytałem o innych podobnych systemach, że algorytm wykorzystuje wspólny klucz (dlaczego trzeba skanować kod QR) i czas generowania sześciocyfrowej liczby co 60 sekund.
ale
Uwierzytelniający Google po prostu pakuje silne automatycznie wygenerowane hasło i generuje na podstawie czasu (w zaokrągleniu do następnych 30 sekund) lub licznika i silnego hasła jednorazowych haseł.
allo
Algorytm jest naprawdę prosty, patrz en.wikipedia.org/wiki/… . Domyślny moduł uwierzytelniający zastępuje licznik znacznikiem czasu, ale opcjonalnie można użyć licznika w większości aplikacji uwierzytelniających, co pomaga, gdy zegar nie jest zsynchronizowany z zegarem serwera.
allo
1

SMS jest najczęstszym sposobem dostarczania OTP. Jest to wygodne, ponieważ prawie wszyscy mają telefon, dzięki czemu mogą łatwo otrzymać SMS. Jednocześnie SMS jest uważany za jedną z najmniej bezpiecznych metod uzyskania OTP ze względu na ryzyko przechwycenia lub przekierowania wiadomości SMS. NIST nie zaleca już systemów uwierzytelniania dwuskładnikowego, które używają SMS-ów, z powodu ich wielu niepewności. Wydali nowe Wytyczne dotyczące tożsamości cyfrowej, wzywając do korzystania z innych form uwierzytelniania dwuskładnikowego.

Google Authenticator przechowuje tajne klucze w chronionych obszarach pamięci telefonu. Jeśli Twój telefon nie jest zrootowany, tylko Google Authenticator może uzyskać do nich dostęp. Nie można ich przechwycić ani odzyskać. Tak więc Google Authenticator jest bardziej bezpieczny i niezawodny niż SMS.

chrześcijanin
źródło