Pourquoi devrais-je utiliser l'application Google Authenticator au lieu de SMS?

10

J'utilise l'authentification à deux facteurs de Google, car je sais que l'accès à mon compte de messagerie est la clé squelette de tous mes autres comptes .

Et ... c'est assez ennuyeux - j'échange fréquemment des ordinateurs et d'autres appareils, et j'utilise beaucoup d'applications natives qui ont besoin d'accéder à mes comptes Google, mais je sais que c'est le moins que je dois faire pour protéger mes e-mails, car c'est la seule chose entre moi et jamais faire des puits qui pourraient vouloir réinitialiser mon mot de passe Netflix et diffuser de mauvais films qui pourraient foirer mes recommandations.

La principale façon d'obtenir le code de connexion dont vous avez besoin (en plus de votre mot de passe) pour l'authentification à deux facteurs de Google est via l'application Google Authenticator que vous pouvez installer sur votre téléphone.

Mais, si vous ne l'avez pas installé, s'il n'est pas configuré ou si quelque chose se passe mal, ils vous enverront le code par SMS, qui est présenté comme une méthode de sauvegarde. Ce qui m'amène à ma question. En supposant que je sois à l'aise avec la sécurité de ma communication par SMS:

Le SMS n'est-il pas un meilleur moyen d'obtenir les codes, du moins du point de vue de la commodité?

Si je désactive l'authentificateur (déclenchant les codes SMS), chaque fois que j'ai besoin d'un code, il est instantanément transmis à mon téléphone, sans aucune action de ma part, et apparaît sur n'importe quel écran sur lequel je suis. J'ai fini.

Avec Authenticator en cours d'exécution, je dois déverrouiller mon téléphone, ouvrir l'authentificateur, choisir le bon code (j'ai deux comptes Google), espérer que le code ne va pas expirer (le texte en envoie un qui est "frais"), etc.

Je comprends parfaitement que les SMS sont légèrement moins protégés: quelqu'un qui a mon téléphone (et probablement mon mot de passe), mais ne peut pas déverrouiller le téléphone peut voir les notifications par SMS, mais n'a pas pu ouvrir Authenticator. Mais c'est loin. Il y a aussi le fait que des services comme iMessage poussent les SMS vers d'autres appareils, comme les Mac, les iPad, etc. Mais encore une fois, en supposant que je suis bon avec mon contrôle d'accès à mes SMS:

Y a-t-il une raison d'utiliser l'appli de Google plutôt que de simplement recevoir des SMS?

Jaydles
la source

Réponses:

9

Authenticator fonctionne même lorsque vous ne disposez d'aucune sorte de réseau disponible pour votre smartphone.

Je ne connais pas votre fournisseur de téléphonie mobile, mais je ne fais pas confiance au mien pour livrer des messages SMS de manière similaire.

Au-delà, c'est plus sûr, comme vous l'avez noté.

ale
la source
Google Authenticator dispose d'un compte à rebours visuel pour que vous sachiez toujours quand le code va changer ensuite. Choisir le bon code est également facile. J'ai 6 comptes (2 Gmail) dans Authenticator
Kevan Sheridan
C'est une excellente réponse - je n'y avais pas pensé. Acceptera demain, en supposant que rien d'autre ne semble plus pertinent. Par curiosité, savez-vous comment cela se fait sans connexion? Je suppose que cela met simplement en cache un tas de codes dans l'application, donc vous avez assez pour remplir une certaine période de temps, bien que je suppose que cela pourrait également les générer dans l'application (probablement indéfiniment) dans certains ce qui est répliqué côté serveur.
Jaydles
Je n'ai aucune idée particulière de la sauce secrète de Google ™. Ce que j'ai lu sur d'autres systèmes similaires, c'est que l'algorithme utilise une clé partagée (pourquoi vous aviez besoin de scanner un code QR) et le temps de générer un nombre à six chiffres toutes les 60 secondes.
ale
L'authentificateur Google enveloppe simplement un mot de passe fort généré automatiquement et génère en fonction du temps (arrondi aux 30 secondes suivantes) ou d'un compteur et du mot de passe fort les mots de passe à usage unique.
allo
L'algorithme est vraiment simple, voir en.wikipedia.org/wiki/… . L'authentificateur par défaut remplace le compteur par un horodatage, mais vous pouvez éventuellement utiliser un compteur dans les applications les plus authentifiantes, ce qui est utile lorsque votre horloge n'est pas synchronisée avec celle du serveur.
allo
1

Le SMS est le moyen le plus courant de fournir des OTP. C'est pratique car presque tout le monde a un téléphone pour qu'ils puissent facilement recevoir des SMS. Dans le même temps, le SMS est considéré comme l'une des méthodes les moins sécurisées pour obtenir un OTP en raison du risque que les messages SMS puissent être interceptés ou redirigés. Le NIST ne recommande plus les systèmes d'authentification à deux facteurs qui utilisent SMS, en raison de leurs nombreuses insécurités. Ils ont publié de nouvelles directives d'identité numérique exhortant à utiliser d'autres formes d'authentification à deux facteurs.

Google Authenticator stocke les clés secrètes dans les zones de mémoire protégées du téléphone. Si votre téléphone n'est pas enraciné, seul Google Authenticator peut y accéder. Ils ne peuvent pas être interceptés ou récupérés. Ainsi, Google Authenticator est plus sûr et fiable que les SMS.

Christian
la source