web-dev-qa-db-fra.com

Pourquoi devrais-je utiliser l'application Google Authenticator au lieu de SMS?

J'utilise l'authentification à deux facteurs de Google, car je sais que l'accès à mon compte de messagerie est la clé squelette de tous mes autres comptes .

Et… c'est assez énervant - j'échange fréquemment des ordinateurs et d'autres appareils et utilise beaucoup d'applications natives nécessitant un accès à mes comptes google, mais je sais que c'est le moins que je puisse faire pour protéger mon courrier électronique, car c'est la seule chose entre moi et moi ne faisons pas bien qui pourrait vouloir réinitialiser mon mot de passe Netflix et diffuser des mauvais films qui pourraient gâcher mes recommandations.

Le principal moyen d’obtenir le code de connexion dont vous avez besoin (en plus de votre mot de passe) pour l’authentification à deux facteurs de Google consiste à utiliser l’application Google Authenticator que vous pouvez installer sur votre téléphone.

Mais, si vous ne l'avez pas installé, ou s'il n'est pas configuré, ou si quelque chose se passe mal, ils vous enverront le code par SMS, présenté comme une méthode de sauvegarde. Ce qui m'amène à ma question. En supposant que je suis à l'aise avec la sécurité de ma SMS communication:

_ n'est-il pas _ SMS un meilleur moyen d'obtenir les codes, du moins du point de vue de la commodité?

Si je désactive l'authentificateur (en déclenchant SMS codes), chaque fois que j'ai besoin d'un code, il est instantanément transmis à mon téléphone, sans aucune action de ma part, et apparaît sur l'écran de n'importe lequel des écrans sur lesquels je suis. J'ai fini.

Avec Authenticator en cours d'exécution, je dois déverrouiller mon téléphone, ouvrir l'authentificateur, choisir le bon code (j'ai deux comptes Google), espérer que le code n'est pas sur le point d'expirer (le texte en envoie un qui est "frais"), etc.

Je comprends tout à fait que SMS soit légèrement moins protégé. Quelqu'un qui a mon téléphone (et probablement mon mot de passe), mais ne peut pas le déverrouiller, peut voir les notifications SMS, mais ne pourrait pas. t Ouvrez Authenticator. Mais c'est un long coup. Il existe également le fait que des services tels que iMessage Push SMS sont également disponibles sur d'autres appareils, tels que Mac, iPad, etc. Mais là encore, en supposant que je maîtrise bien l'accès à mes SMS:

Existe-t-il une raison d'utiliser l'Application de Google plutôt que de recevoir des textes?

10
Jaydles

Authenticator fonctionne même lorsque aucun type de réseau n'est disponible pour votre smartphone.

Je ne connais pas votre fournisseur de téléphonie mobile, mais je ne fais pas confiance au mien pour envoyer des messages SMS de façon très rapide.

Au-delà, il est plus sécurisé, comme vous l'avez noté.

9
ale

Le SMS est le moyen le plus courant de livrer des OTP. C’est pratique, car presque tout le monde a un téléphone et peut donc facilement recevoir des SMS. Simultanément, SMS est considéré comme l’une des méthodes les moins sécurisées d’obtenir un OTP en raison du risque que les messages SMS puissent être interceptés ou redirigés. Le NIST ne recommande plus les systèmes d'authentification à deux facteurs utilisant SMS, en raison de leurs nombreuses insécurités. Ils ont publié de nouvelles directives sur l’identité numérique, appelant à utiliser d’autres formes d’authentification à deux facteurs.

Google Authenticator stocke les clés secrètes dans les zones de mémoire protégées du téléphone. Si votre téléphone n’est pas enraciné, seul Google Authenticator peut y accéder. Ils ne peuvent être ni interceptés ni récupérés. Ainsi, Google Authenticator est plus sécurisé et fiable que SMS.

1
Christian