web-dev-qa-db-ja.com

Googleプロンプトは2段階認証の認証アプリより安全ですか?

Authenticatorアプリの方がSMSより安全だと思います。アプリを設定すると、スマートフォンをセットアップすると、転送中のデータはありません。現在、Authenticatorアプリの代わりに Googleは電話プロンプトをプッシュしています 。転送中のデータを意味することを考えると、より安全ですか?

16
guest

Googleはそのサービスにプッシュ通知を使用していると思います。これにより、セキュリティはSMSベースのMFAとほぼ同等になります。あなたが指摘するように、どちらも攻撃者があなた宛ての認証コードを傍受したり、Googleにコードを携帯電話の代わりに直接送信するように仕向ける何らかの方法を見つける機会を提供します。

プッシュ通知ベースのシステムとSMSベースのシステムのセキュリティ分析は、転送プロトコルの詳細に依存します(つまり、プッシュ通知よりもSMSトラフィックをインターセプトする方が簡単です) 、またはその逆)これは興味深い質問であり、答えはわかりません。

ただし、「何かがある」というネットワークベースの認証方法の固有の制限を考えると、どちらも、他よりも安全性がはるかに高くなることはありません。それらとHOTP/TOTPアプリまたはハードウェアMFAデバイスとの違いははるかに大きく、これらの方法のいずれかを使用することとsingle要素認証はさらに大きくなります。だから、実用的な観点からは、質問は興味深いが重要ではないと思います:any MFAの形式は、まったくないよりも優れており、セキュリティに本当に関心がある場合は、非ネットワークベースの第2要素を使用します。

Googleがこれを公開している主な理由は、SMS 2FAよりもセキュリティを強化するためではありませんが、使いやすさです(つまり、MFAを完全に無視する代わりに、それを使用する可能性が高くなります)。 。

あなたが言及している2要素認証の両方の方法には、Googleの認証システムアプリとSMSという固有のリスクがあります。安全性のレベルを決定することは白黒ではありません-それはあなたとあなたのユースケースにより受け入れられるリスクに依存します。

しかし、具体的にあなたの質問に答えるために:「それはより安全です、それが転送中のデータを暗示することを考慮して?」-いいえ、そうではありません。

2FAのSMSメソッドは、いわゆる 'SIM Swap' 攻撃の影響を受けやすくなっています。フィッシングやその他のソーシャルエンジニアリングスタイルの攻撃を使用して被害者の個人情報(銀行口座の詳細など)を入手した(およびソーシャルメディアから詳細を自由に引き出した)攻撃者は、モバイルサービスプロバイダーに現在のSIMを無効にし、攻撃者の1つを有効にするように仕向けます。所持。次に、2FA SMSを含むすべての新しいSMSがプレーンテキストで攻撃者に送信されます。

アプリケーションとSMS 2FA- この記事ではそれらを非常にうまくまとめています の両方にまだ長所と短所があります。

私は個人的には、アプリケーションベースの認証を可能な限り使用し、その認証システムを制御するデバイスの個人的なセキュリティを強化することをお勧めします。

3
R. Murray