web-dev-qa-db-fra.com

Google Prompt est-il une application d'authentification puis plus sûre pour la vérification en deux étapes?

Je suppose que l'application d'authentification est plus sûre alors SMS parce que dans l'application il n'y a pas de données en transit une fois que vous avez configuré votre téléphone. Maintenant, Google pousse les invites du téléphone en remplacement de application d'authentification. Est-ce plus sûr, étant donné qu'il implique des données en transit?

16
guest

Google utilise des notifications Push pour ce service, je suppose. Cela met la sécurité à peu près équivalente à une MFA basée sur SMS. Comme vous le faites remarquer, ils offrent tous deux la possibilité à un attaquant d'intercepter un code d'authentification qui vous est destiné, ou de trouver un moyen de convaincre Google de lui envoyer le code directement au lieu de votre téléphone.

L'analyse de sécurité d'un système basé sur les notifications Push par rapport à un système basé sur SMS va alors être à la hauteur des spécificités du protocole de transfert (c'est-à-dire qu'il est plus facile d'intercepter le trafic SMS que les notifications Push) , ou vice versa). C'est la question intéressante, à laquelle je ne connais pas la réponse.

Cependant, aucun ne sera beaucoup plus sûr que l'autre, étant donné les limites inhérentes à une méthode d'authentification basée sur le réseau pour "quelque chose que vous avez". La différence entre eux et une application HOTP/TOTP, ou un périphérique MFA matériel, est beaucoup plus, et à son tour la différence entre l'utilisation de l'une de ces méthodes et l'utilisation unique - l'authentification factorielle est encore plus importante. Donc, d'un point de vue pratique, je pense que la question, bien qu'intéressante, n'a pas d'importance: n'importe quelle forme d'AMF vaut mieux que de ne pas en avoir du tout, et si vous vous souciez vraiment de votre sécurité, vous devriez être en utilisant un deuxième facteur non basé sur le réseau.

Je suppose que la principale raison pour laquelle Google déploie cela n'est pas pour une sécurité accrue par rapport à SMS 2FA, mais la facilité d'utilisation (ce qui signifie que les gens sont plus susceptibles de l'utiliser plutôt que de renoncer entièrement à MFA) .

Il existe des risques inhérents aux deux méthodes d'authentification à 2 facteurs que vous mentionnez - l'application Authenticator de Google et les SMS. La détermination du niveau de sécurité ne sera pas en noir et blanc - cela dépendra des risques les plus acceptables pour vous et votre cas d'utilisation.

Mais, pour répondre spécifiquement à votre question: "Est-ce plus sûr, considérant que cela implique des données en transit ?" - Non, ça ne l'est pas.

Les méthodes SMS de 2FA sont sensibles à ce que l'on appelle une attaque 'SIM Swap' . Les attaquants qui ont utilisé le phishing et d'autres attaques de type ingénierie sociale pour obtenir les informations personnelles des victimes - y compris les coordonnées bancaires ainsi que les informations extraites librement des réseaux sociaux) convainquent le fournisseur de services mobiles de désactiver la carte SIM actuelle et d'en activer une chez les attaquants possession. Tous les nouveaux SMS sont ensuite envoyés à l'attaquant, y compris les SMS 2FA - en texte brut.

Il y a encore des avantages et des inconvénients pour Application et SMS 2FA - --- (cet article les résume très bien .

Personnellement, je recommanderais d'utiliser l'authentification basée sur l'application autant que possible et d'augmenter la sécurité personnelle de mon appareil qui contrôle cet authentificateur.

3
R. Murray