¿Cuál es la mejor autenticación de dos factores: SMS o en la aplicación?

Ambos son útiles, pero generalmente prefiero la versión de la aplicación . He enumerado los pros de cada uno a continuación.

Para la versión de SMS:

• No hay necesidad de teléfonos inteligentes.
• Portabilidad instantánea si su teléfono está roto y puede transferir su tarjeta SIM a otro teléfono
• Es más fácil de configurar / configurar cada vez que obtiene un teléfono nuevo (por lo general, no se necesitan cambios)
• Adición ligera si tiene muchas cuentas aleatorias con las que lidiar y no desea obstruir su aplicación 2FA (actualmente tengo 8 en la aplicación y varias cuentas más que no me importan tanto solo con el uso de SMS)
• Menos esfuerzo porque le envían el SMS
• Te alertan si alguien intenta iniciar sesión en tu cuenta (¡y tiene tu contraseña!)

Para la versión de la aplicación 2FA:

• No depende de la seguridad de las telecomunicaciones.
• No se preocupe por las notificaciones de SMS que se filtran a través de la pantalla de bloqueo y permiten que alguien obtenga acceso
• Gratis especialmente si tiene un plan donde paga para recibir SMS
• Acceso más rápido (puede tirar en tiempo real) sin mucho esfuerzo una vez que desarrolle un hábito
• Funciona internacionalmente sin roaming y en áreas sin recepción de teléfonos celulares, o en días con demoras por SMS (por ejemplo, Nochevieja)
• Puede otorgar acceso a múltiples teléfonos y dispositivos a la misma cuenta (incluso cuando se encuentra en cualquier parte del mundo), y es excelente para el acceso a cuentas compartidas

Estoy de acuerdo con Devdas Bhagat. Ambas variantes (SMS y aplicación) tienen puntos débiles.

Los SMS pueden ser interceptados y tendrá problemas en las áreas sin recepción de teléfonos celulares o durante el viaje a otro país.

La aplicación del teléfono inteligente puede ser hackeada. O restablecerá su teléfono y lo perderá teniendo muchos problemas para restaurar el acceso a su cuenta.

Además, si la batería del teléfono está agotada, no recibirá el mensaje de texto ni generará la OTP con su aplicación.

El tipo de token OTP más confiable hoy en día es el token de hardware. No está conectado a ninguna red, por lo tanto, el OTP no puede ser interceptado y su duración de batería es de hasta 5 años. Hay variantes muy convenientes y atractivas de tokens de hardware en forma de llaveros, tarjetas bancarias, tarjetas mini bancarias.

La autenticación de dos factores, también conocida como verificación en dos pasos (2FA), ha recibido mucha atención últimamente. Creo que la pregunta sobre cuál es mejor entre APP o SMS se puede interpretar de dos maneras.

Qué método 2FA es más seguro o cuál es más fácil de usar . Las respuestas en ambos casos serán diferentes. En un mundo donde están surgiendo BYOD e Internet de las cosas (IOT) , el panorama de amenazas está en constante crecimiento. 2FA tiene como objetivo proteger y proteger su identidad, pero el desafío siempre es equilibrar la simplicidad con la seguridad … ¿cómo puede ser simple para los usuarios pero seguro?

2FA debe garantizar que se utilicen dos canales de transporte para considerarse una verificación segura de dos pasos (2FA). Por ejemplo, si ingresa su contraseña en un sitio web, luego recibe un código por SMS o Google OAUTH que vuelve a colocar en un cuadro en el mismo sitio web … Esto de alguna manera anula el propósito si dice que tiene un troyano en su dispositivo, aunque la mitad de un 2FA es aún mejor que no 2FA. ¿La aplicación es más segura? Bueno, realmente depende de si está accediendo al sitio web desde otro dispositivo que no sea su teléfono celular.

Estos escenarios abogan por la necesidad de una autenticación fuera de banda (OOBA) donde el proceso garantiza que se utilicen 2 canales de comunicación diferentes. es decir: llamada telefónica a un dispositivo, un token o cualquier mecanismo en el que NO use el mismo canal de comunicación (es decir, Internet). Una buena combinación de red celular e internet es un buen comienzo. Un pirata informático necesitaría piratear su compañía telefónica y su dispositivo informático factible pero no es fácil.

Por supuesto, no hay soluciones 100% seguras de prueba completa, pero hacerlo más difícil es el nombre del juego. El objetivo de 2FA es aumentar el nivel de complejidad al que un atacante cibernético necesita robar su identidad. En un mundo futurista, su firma de calor se usará automáticamente para el sistema al que desea acceder, lo que hace que la bio-métrica sea el método más fácil, pero desafortunadamente aún no estamos allí.

Ahora, una vez que se comprende el aspecto de seguridad, tenemos que pensar en la facilidad de uso. Con BYOD e IOT, la adhesión del usuario a la estrategia 2FA es crucial y la llamada SMS / Teléfono gana la batalla simplemente porque no requiere ningún esfuerzo adicional para el usuario. Por lo tanto, debe encontrar la solución que le ofrezca cumplir con sus requisitos de facilidad de uso e idealmente una que ofrezca un 2FA fuera de banda utilizando una red celular.

Ambos son útiles y tienen sus propias ventajas y desventajas.

En la aplicación:

Si tiene una aplicación, puede enviar contraseñas de un solo uso a través del canal rentable Push. A su usuario se le mostrará la Contraseña en su aplicación, después de lo cual ya no se verá en su teléfono.

SMS:

Con una tasa de apertura del 98% en 30 segundos, SMS es conocido por su alta confiabilidad. Al enviar las contraseñas de un solo uso por SMS, está seguro de llegar a sus usuarios donde sea que estén. Incluso cuando los usuarios no tienen acceso a Internet, pueden usar esta solución de autenticación de múltiples factores.

Definitivamente autenticación en la aplicación, si se hace correctamente.

El Instituto Nacional de Estándares y Tecnología acaba de declarar que la autenticación de dos factores basada en SMS no es segura. Los mensajes de texto simplemente no están hechos para transferir datos confidenciales y hay muchas maneras en que la autenticación de dos factores basada en SMS no es segura.

En SecSign Technologies desarrollamos un procedimiento de autenticación de dos factores sin igual basado en PKI que es tan fácil como iniciar sesión con una huella digital y cumplir con los más altos estándares de seguridad. Nuestro mecanismo patentado SafeKey emplea claves privadas RSA de 2048 bits para la mejor protección posible sin ser una molestia. Además, no necesita copiar códigos, fotografiar códigos QR o responder preguntas.

Para abordar las inquietudes del otro usuario:

Con SecSign ID, una cuenta se puede restaurar fácilmente cuando el teléfono se pierde / es robado o simplemente se obtiene una nueva.

Incluso si está utilizando el teléfono móvil tanto para iniciar sesión como para el segundo factor, con la aplicación SecSign ID todavía debe proporcionar su código de acceso o su huella digital para acceder al segundo factor. Sus cuentas no son vulnerables solo porque su teléfono fue robado.

Más información sobre la aplicación SecSign ID.

En la aplicación, la autenticación de dos factores (2FA) es mejor que la 2FA basada en SMS. Si bien ambos son igualmente inconvenientes y agregan fricción al comportamiento del usuario, en la aplicación 2FA es relativamente más seguro, ya que elimina a los intermediarios como los operadores de celulares y el usuario genera el código de su propio teléfono.

El Instituto Nacional de Estándares y Tecnología de los Estados Unidos (NIST) también ha desaprobado el 2FA basado en SMS y lo consideró no seguro y este debería ser el comienzo del fin de esta tecnología obsoleta. Consulte esta publicación para obtener más detalles.

Depende del dispositivo desde el que acceda. Si el dispositivo desde el que accede es su PC, se pueden usar tanto SMS como en la aplicación según las preferencias del usuario. Sin embargo, si el acceso es desde su dispositivo móvil, ambos casos no encajan exactamente en el concepto de “Segundo Factor”. El verdadero segundo factor en este sentido sería “Algo que sabes”, que puede ser un conjunto de preguntas de seguridad o aspectos de comportamiento, como tiempo de acceso, ubicación, etc. Sin embargo, si la aplicación usa autenticación biométrica, como huella digital / voz , la aplicación hace un caso por sí misma.

SMS tiene la ventaja de que funciona para las personas que tienen teléfonos con funciones en lugar de teléfonos inteligentes, o que francamente no se les puede enseñar cómo usar una aplicación de autenticación. Por otro lado, la seguridad de los SMS es casi completamente una ilusión, y lo es cada vez más con cada día que pasa. Cada vez es más fácil interceptar, es más fácil falsificar y requiere que confíes completamente en tu PTT o compañía telefónica. Ciertamente es completamente inútil contra un gobierno nacional corrupto. En términos más simples: por ejemplo, en la Primavera Árabe, dependiendo de SMS 2FA habría literalmente literalmente matado a personas torturadas.

OATH TOTP o HOTP 2FA basado en estándares, como el implementado por la aplicación Google Authenticator, es mucho más seguro, no requiere una confianza profunda de su empresa de telecomunicaciones y puede ejecutarse no solo en Google Authenticator, sino en otro software o en múltiples competidores. dispositivos de hardware. Puede escribir un generador de tokens OATH en solo unas pocas docenas de líneas de Python o Java, si realmente lo desea. Por otro lado, usar OATH requiere que tengas un teléfono inteligente o una computadora para generar los tokens.

Si bien ambos métodos tienen sus méritos, la autenticación por SMS es nuestra recomendación: una forma segura y confiable de verificar a sus usuarios.

Podemos estar sesgados, pero con Ringcaptcha, incorporar y verificar usuarios es tan fácil como agregar algunas líneas de código a su aplicación. Se genera automáticamente un SMS que verifica al usuario al instante. Es un SDK potente que requiere una integración mínima.

Hacerlo usted mismo es ciertamente posible, pero es más complejo: los problemas más comunes que encontrará al implementar la verificación de SMS internamente

Un dispositivo físico no conectado.

2FA se ocupa de la situación en la que un dispositivo puede verse comprometido. Si ambos son su teléfono o están sujetos a una intercepción fácil, entonces no tiene 2FA en absoluto.

Autenticación de dos factores, seguro. Es mucho más difícil descifrar un sistema que tiene habilitada la autenticación multifactor, que interceptar un SMS.

Resulta que recientemente escribí un artículo sobre este tema. Espero que aclare!

La autenticación de 2 factores basada en SMS está muerta. – Seguridad sin contraseña | UNLOQ

Entonces, en la mayoría de los casos, es mejor usar una aplicación vs SMS. ¿Por qué? SMS es un protocolo inseguro no encriptado que puede ser fácilmente falsificado y / o interceptado. Si bien es posible que la aplicación o el servidor puedan ser descifrados, ya que un respondedor dijo que es mucho más difícil y si descifras una aplicación, solo obtienes el secreto de esa aplicación y no de las otras que están en uso. Además, la mayoría de las aplicaciones de autenticación están diseñadas y creadas por compañías que tienen personas extremadamente buenas trabajando en esto y emplean buenas prácticas de seguridad. Además, si pierde su teléfono, puede desautorizarlo para usar la aplicación de autenticación de forma remota y limitar la posibilidad de que se use. También puede proteger con contraseña la aplicación en la mayoría de los sistemas operativos móviles, donde hacerlo para su mensajería no siempre es una opción.

Si tiene una aplicación (con o sin juego), la autenticación en la aplicación es mejor. Como los usuarios permanecen en su aplicación y no la dejan. Las aplicaciones de autenticación funcionan incluso cuando no tienes cobertura móvil.

Por supuesto, los dos factores son la mejor forma de autenticación que existe. Por obvias razones. Algunas personas no necesitan registrarse completamente para ingresar una vez. El pase de visitante es su mejor opción.