J'utilise l'authentification à deux facteurs de Google, car je sais que l'accès à mon compte de messagerie est la clé squelette de tous mes autres comptes .
Et ... c'est assez ennuyeux - j'échange fréquemment des ordinateurs et d'autres appareils, et j'utilise beaucoup d'applications natives qui ont besoin d'accéder à mes comptes Google, mais je sais que c'est le moins que je dois faire pour protéger mes e-mails, car c'est la seule chose entre moi et jamais faire des puits qui pourraient vouloir réinitialiser mon mot de passe Netflix et diffuser de mauvais films qui pourraient foirer mes recommandations.
La principale façon d'obtenir le code de connexion dont vous avez besoin (en plus de votre mot de passe) pour l'authentification à deux facteurs de Google est via l'application Google Authenticator que vous pouvez installer sur votre téléphone.
Mais, si vous ne l'avez pas installé, s'il n'est pas configuré ou si quelque chose se passe mal, ils vous enverront le code par SMS, qui est présenté comme une méthode de sauvegarde. Ce qui m'amène à ma question. En supposant que je sois à l'aise avec la sécurité de ma communication par SMS:
Le SMS n'est-il pas un meilleur moyen d'obtenir les codes, du moins du point de vue de la commodité?
Si je désactive l'authentificateur (déclenchant les codes SMS), chaque fois que j'ai besoin d'un code, il est instantanément transmis à mon téléphone, sans aucune action de ma part, et apparaît sur n'importe quel écran sur lequel je suis. J'ai fini.
Avec Authenticator en cours d'exécution, je dois déverrouiller mon téléphone, ouvrir l'authentificateur, choisir le bon code (j'ai deux comptes Google), espérer que le code ne va pas expirer (le texte en envoie un qui est "frais"), etc.
Je comprends parfaitement que les SMS sont légèrement moins protégés: quelqu'un qui a mon téléphone (et probablement mon mot de passe), mais ne peut pas déverrouiller le téléphone peut voir les notifications par SMS, mais n'a pas pu ouvrir Authenticator. Mais c'est loin. Il y a aussi le fait que des services comme iMessage poussent les SMS vers d'autres appareils, comme les Mac, les iPad, etc. Mais encore une fois, en supposant que je suis bon avec mon contrôle d'accès à mes SMS:
Y a-t-il une raison d'utiliser l'appli de Google plutôt que de simplement recevoir des SMS?
Le SMS est le moyen le plus courant de fournir des OTP. C'est pratique car presque tout le monde a un téléphone pour qu'ils puissent facilement recevoir des SMS. Dans le même temps, le SMS est considéré comme l'une des méthodes les moins sécurisées pour obtenir un OTP en raison du risque que les messages SMS puissent être interceptés ou redirigés. Le NIST ne recommande plus les systèmes d'authentification à deux facteurs qui utilisent SMS, en raison de leurs nombreuses insécurités. Ils ont publié de nouvelles directives d'identité numérique exhortant à utiliser d'autres formes d'authentification à deux facteurs.
Google Authenticator stocke les clés secrètes dans les zones de mémoire protégées du téléphone. Si votre téléphone n'est pas enraciné, seul Google Authenticator peut y accéder. Ils ne peuvent pas être interceptés ou récupérés. Ainsi, Google Authenticator est plus sûr et fiable que les SMS.
la source