Neden SMS yerine Google Şifrematik uygulamasını kullanmalıyım?

10

Google'ın iki faktörlü kimlik doğrulamasını kullanıyorum, çünkü e-posta hesabıma erişimin diğer tüm hesaplarımın iskelet anahtarı olduğunu biliyorum .

Ve ... oldukça sinir bozucu - sık sık bilgisayarları ve diğer cihazları değiştiriyorum ve google hesaplarıma erişmesi gereken çok sayıda yerel uygulama kullanıyorum, ancak e-postamı korumak için yapmam gereken en az şey olduğunu biliyorum. benim ve benim aramdaki tek şey Netflix şifremi sıfırlamak ve önerilerimi bozabilecek kötü filmler yayınlamak isteyebilecek kuyuları yapmak.

Google'ın iki faktörlü kimlik doğrulaması için ihtiyacınız olan giriş kodunu (passoword'unuza ek olarak) almanın birincil yolu, telefonunuza yükleyebileceğiniz Google Şifrematik uygulamasıdır.

Ancak, yüklü değilse veya kurulmamışsa veya başka bir şey yanlış giderse, size bir yedekleme yöntemi olarak sunulan SMS ile kodu gönderir. Bu da beni soruma getiriyor. SMS iletişimimin güvenliğinden memnun olduğumu varsayarsak:

SMS , en azından kolaylık açısından kodları almanın daha iyi bir yolu değil mi?

Kimlik doğrulayıcıyı (SMS kodlarını tetikleyen) devre dışı bırakırsam, bir koda ihtiyaç duyduğumda, benden herhangi bir işlem yapmadan hemen telefonuma itilir ve bulunduğum herhangi bir ekranda görünür. Bitirdim.

Kimlik Doğrulayıcı çalışırken, telefonumun kilidini açmam, kimlik doğrulayıcı açmam, doğru kodu seçmem (iki Google hesabım var), kodun süresinin dolmak üzere olmadığını (metin "yeni" bir tane gönderir) vb.

SMS'in biraz daha az korunduğunu tamamen anlıyorum: Telefonumu (ve muhtemelen şifremi) olan, ancak telefonun kilidini açamayan biri SMS bildirimlerini görebilir, ancak Authenticator'ı açamadı. Ama bu uzun bir atış. Ayrıca, iMessage gibi hizmetlerin SMS'leri Mac'ler, iPad'ler vb. Gibi diğer cihazlara itmesi de vardır. Ancak yine de SMS'ime erişim kontrolümde iyi olduğumu varsayarsak:

Google'ın Uygulamasını kullanmak yerine yalnızca metin almak için herhangi bir neden var mı?

google-account  security  authentication  multi-factor-auth  google-authenticator 
Jaydles
kaynak

Yanıtlar:

9

Authenticator, akıllı telefonunuz için herhangi bir ağ türünüz olmadığında bile çalışır.

Cep telefonu operatörünüzü bilmiyorum, ancak SMS mesajlarını zamanında benzeyen bir şey iletmek için benimkine güvenmiyorum.

Bunun ötesinde, belirttiğiniz gibi, daha güvenlidir.

bira
kaynak
Google Şifrematik'in görsel bir geri sayım sayacı vardır, böylece kodun ne zaman değişeceğini her zaman bilirsiniz. Doğru kodu seçmek de kolaydır. Authenticator
Kevan Sheridan'da
Bu harika bir cevap - bunu düşünmemiştim. Yarın kabul edecek, daha alakalı görünecek başka bir şey olmadığını varsayalım. Meraktan, bunu bağlantı olmadan nasıl yaptığını biliyor musunuz? Ben sadece uygulama içi kodları bir grup önbellekleri varsayalım, bu yüzden sunucu tarafında çoğaltılan bazı da onları (muhtemelen sonsuza kadar) onları uygulamada üretebilir sanırım, ancak bir süre doldurmak için yeterli var.
Jaydles
Google'ın Secret Sauce ™ hakkında özel bir fikrim yok. Diğer benzer sistemler hakkında okuduğum şey, algoritmanın paylaşılan bir anahtar (neden bir QR kodunu taramanız gerektiğini) ve her 60 saniyede altı basamaklı bir sayı üretme zamanı kullanmasıdır.
ale
Google kimlik doğrulayıcı yalnızca otomatik olarak oluşturulmuş güçlü bir parolayı sarar ve zamana (sonraki 30 saniyeye yuvarlanır) veya bir sayaca ve güçlü parolayı bir kerelik parolalara göre oluşturur.
allo
Algoritma gerçekten basit, bkz. En.wikipedia.org/wiki/… . Varsayılan kimlik doğrulayıcı sayacı bir zaman damgasıyla değiştirir, ancak isteğe bağlı olarak en doğrulayıcı uygulamalarında bir saat kullanabilirsiniz, bu da saatinizin sunucunun saati ile senkronize edilmemesine yardımcı olur.
allo
1

SMS, OTP'leri iletmenin en yaygın yoludur. Neredeyse herkesin bir telefonu olduğu için kolayca SMS alabilirler. Aynı zamanda, SMS mesajlarının ele geçirilmesi veya yeniden yönlendirilmesi riski nedeniyle SMS, OTP almak için en az güvenli yöntemlerden biri olarak kabul edilir. NIST artık birçok güvensizliği nedeniyle SMS kullanan iki faktörlü kimlik doğrulama sistemleri önermemektedir. İki faktörlü kimlik doğrulamanın diğer biçimlerini kullanmaya çağıran yeni Dijital Kimlik Yönergeleri yayınladılar.

Google Şifrematik gizli anahtarları telefonun korumalı bellek alanlarında saklar. Telefonunuz köklü değilse yalnızca Google Şifrematik bunlara erişebilir. Onlar ele geçirilemez veya alınamaz. Dolayısıyla, Google Şifrematik SMS'den daha güvenli ve güvenilirdir.

Hristiyan
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.