Почему я должен использовать приложение Google Authenticator вместо SMS?

10

Я использую двухфакторную аутентификацию Google, потому что я знаю, что доступ к моей учетной записи электронной почты является ключом ко всем другим моим учетным записям .

И ... это довольно раздражает - я часто меняю компьютеры и другие устройства и использую множество нативных приложений, которым нужен доступ к моим учетным записям Google, но я знаю, что это минимум, что мне нужно сделать, чтобы защитить свою электронную почту, так как это единственная вещь между мной и кем-то еще, кто может захотеть сбросить мой пароль Netflix и показать плохие фильмы, которые могут испортить мои рекомендации.

Основной способ получения необходимого вам кода входа (помимо вашего пароля) для двухфакторной аутентификации Google - через приложение Google Authenticator, которое вы можете установить на свой телефон.

Но, если он не установлен, или он не настроен, или что-то еще идет не так, они отправят вам код через SMS, который представляется как дополнительный способ резервного копирования. Что подводит меня к моему вопросу. Предполагая, что я чувствую себя комфортно с безопасностью моего SMS-общения:

Разве SMS не лучший способ получить коды, по крайней мере, с точки зрения удобства?

Если я отключаю аутентификатор (вызывая SMS-коды), всякий раз, когда мне нужен код, он мгновенно отправляется на мой телефон без каких-либо действий от меня и появляется на любом экране, на котором я работаю. Я задолбался.

Когда запущен Authenticator, я должен разблокировать свой телефон, открыть аутентификатор, выбрать правильный код (у меня есть две учетные записи Google), надеяться, что код не скоро истечет (текст отправляет тот, который «свежий»), и т. Д.

Я полностью понимаю, что SMS немного менее защищен: кто-то, у кого есть мой телефон (и, вероятно, мой пароль), но не может разблокировать телефон, может видеть SMS-уведомления, но не может открыть Authenticator. Но это длинный выстрел. Также есть тот факт, что такие сервисы, как iMessage, отправляют SMS на другие устройства, такие как Mac, iPad и т. Д. Но, опять же, при условии, что я хорошо контролирую доступ к своим SMS:

Есть ли какая-либо причина использовать приложение Google вместо получения текстов?

Jaydles
источник

Ответы:

9

Аутентификатор работает, даже если у вас нет какой-либо сети, доступной для вашего смартфона.

Я не знаю о вашем мобильном провайдере, но я не доверяю своим, чтобы доставлять SMS-сообщения в чем-то, что напоминает своевременно.

Помимо этого, это более безопасно, как вы заметили.

пиво
источник
Google Authenticator имеет визуальный таймер обратного отсчета, чтобы вы всегда знали, когда код изменится в следующий раз. Выбрать правильный код тоже легко. У меня есть 6 учетных записей (2 Gmail) в Authenticator
Кеван Шеридан
Это отличный ответ - я не думал об этом. Приму завтра, предполагая, что больше ничего не появляется, что кажется более актуальным. Из любопытства, вы знаете, как это происходит без связи? Я предполагаю, что он просто кеширует кучу кодов в приложении, так что у вас достаточно для заполнения некоторого периода времени, хотя, я думаю, он также может генерировать их в приложении (предположительно, на неопределенный срок) в том, что копируется на стороне сервера.
Jaydles
У меня нет особого понимания секретного соуса Google ™. Что я читал о других подобных системах, так это то, что алгоритм использует общий ключ (зачем вам нужно было сканировать QR-код) и время для генерации шестизначного числа каждые 60 секунд.
эль
Аутентификатор Google просто создает надежный автоматически сгенерированный пароль и генерирует на основе времени (с округлением до следующих 30 секунд) или счетчика и надежного пароля одноразовые пароли.
Алло
Алгоритм действительно прост, см. En.wikipedia.org/wiki/… . Аутентификатор по умолчанию заменяет счетчик временной меткой, но при желании вы можете использовать счетчик в большинстве приложений для проверки подлинности, что помогает, когда ваши часы не синхронизированы с часами сервера.
Алло
1

SMS является наиболее распространенным способом доставки OTP. Это удобно, так как почти у каждого есть телефон, и они могут легко получить SMS. В то же время SMS считается одним из наименее безопасных способов получения OTP из-за риска того, что SMS-сообщения могут быть перехвачены или перенаправлены. NIST больше не рекомендует использовать системы двухфакторной аутентификации, использующие SMS, из-за их многочисленных недостатков. Они выпустили новые Руководства по цифровой идентификации, призывающие использовать другие формы двухфакторной аутентификации.

Google Authenticator хранит секретные ключи в защищенных областях памяти телефона. Если ваш телефон не рутирован, только Google Authenticator может получить к ним доступ. Они не могут быть перехвачены или восстановлены. Таким образом, Google Authenticator является более безопасным и надежным, чем SMS.

Кристиан
источник