Warum sollte ich die Google Authenticator-App anstelle von SMS verwenden?

10

Ich verwende die Zwei-Faktor-Authentifizierung von Google, da ich weiß, dass der Zugriff auf mein E-Mail-Konto der Schlüssel für alle meine anderen Konten ist .

Und ... es ist ziemlich ärgerlich - ich tausche häufig Computer und andere Geräte aus und verwende viele native Apps, die Zugriff auf meine Google-Konten benötigen, aber ich weiß, dass dies das Mindeste ist, was ich tun muss, um meine E-Mails zu schützen, da dies der Fall ist Das einzige, was zwischen mir und nie gut funktioniert, ist, dass ich mein Netflix-Passwort zurücksetzen und schlechte Filme streamen möchte, die meine Empfehlungen durcheinander bringen könnten.

Der primäre Weg, um den Anmeldecode zu erhalten, den Sie (zusätzlich zu Ihrem Passwort) für die Zwei-Faktor-Authentifizierung von Google benötigen, ist die Google Authenticator-App, die Sie auf Ihrem Telefon installieren können.

Wenn Sie es jedoch nicht installiert haben oder es nicht eingerichtet ist oder etwas anderes schief geht, senden sie Ihnen den Code per SMS, die eher als Sicherungsmethode dargestellt wird. Was mich zu meiner Frage bringt. Vorausgesetzt, ich bin mit der Sicherheit meiner SMS-Kommunikation zufrieden:

Ist SMS nicht ein besserer Weg, um die Codes zu erhalten, zumindest aus praktischer Sicht?

Wenn ich den Authentifikator deaktiviere (SMS-Codes auslösen), wird ein Code, wenn ich ihn benötige, sofort ohne mein Zutun auf mein Telefon übertragen und auf jedem Bildschirm angezeigt, auf dem ich mich befinde. Ich bin fertig.

Wenn Authenticator ausgeführt wird, muss ich mein Telefon entsperren, den Authentifikator öffnen, den richtigen Code auswählen (ich habe zwei Google-Konten), hoffen, dass der Code nicht abläuft (der Text sendet einen, der "frisch" ist) usw.

Ich verstehe vollkommen, dass SMS etwas weniger geschützt ist: Jemand, der mein Telefon (und vermutlich mein Passwort) hat, das Telefon aber nicht entsperren kann, kann die SMS-Benachrichtigungen sehen, aber Authenticator nicht öffnen. Aber das ist ein langer Schuss. Es gibt auch die Tatsache, dass Dienste wie iMessage SMS an andere Geräte wie Macs, iPads usw. senden. Aber auch hier gehe ich davon aus, dass ich den Zugriff auf meine SMS gut kontrollieren kann:

Gibt es einen Grund, die Google App zu verwenden, anstatt nur Texte zu erhalten?

google-account  security  authentication  multi-factor-auth  google-authenticator 
Jaydles
quelle

Antworten:

9

Der Authenticator funktioniert auch dann, wenn für Ihr Smartphone kein Netzwerk verfügbar ist.

Ich weiß nichts über Ihren Mobilfunkanbieter, aber ich vertraue nicht darauf, dass ich SMS-Nachrichten in einer zeitnahen Weise zustelle.

Darüber hinaus ist es sicherer, wie Sie bemerkt haben.

Ale
quelle
Der Google Authenticator verfügt über einen visuellen Countdown-Timer, sodass Sie immer wissen, wann sich der Code als nächstes ändern wird. Die Auswahl des richtigen Codes ist ebenfalls einfach. Ich habe 6 Konten (2 Google Mail) in Authenticator
Kevan Sheridan
Dies ist eine großartige Antwort - daran hatte ich nicht gedacht. Wird morgen akzeptieren, vorausgesetzt, es erscheint nichts anderes, das relevanter erscheint. Wissen Sie aus Neugier, wie es das ohne Verbindung macht? Ich gehe davon aus, dass nur einige der Codes in der App zwischengespeichert werden, sodass Sie genug Zeit haben, um einen bestimmten Zeitraum zu füllen, obwohl ich denke, dass sie auch in der App (vermutlich auf unbestimmte Zeit) in einigen auf der Serverseite replizierten Codes generiert werden können.
Jaydles
Ich habe keinen besonderen Einblick in Googles Secret Sauce ™. Was ich über andere ähnliche Systeme gelesen habe, ist, dass der Algorithmus einen gemeinsamen Schlüssel verwendet (warum Sie einen QR-Code scannen mussten) und die Zeit, um alle 60 Sekunden eine sechsstellige Zahl zu generieren.
Ale
Der Google-Authentifikator verpackt lediglich ein stark automatisch generiertes Kennwort und generiert basierend auf der Zeit (auf die nächsten 30 Sekunden abgerundet) oder einem Zähler und dem sicheren Kennwort die Einmalkennwörter.
Allo
Der Algorithmus ist wirklich einfach, siehe en.wikipedia.org/wiki/… . Der Standardauthentifizierer ersetzt den Zähler durch einen Zeitstempel. Sie können jedoch optional einen Zähler in den meisten Authentifizierungsanwendungen verwenden. Dies ist hilfreich, wenn Ihre Uhr nicht mit der Uhr des Servers synchronisiert ist.
Allo
1

SMS ist die häufigste Methode zur Bereitstellung von OTPs. Es ist praktisch, da fast jeder ein Telefon hat, sodass er problemlos SMS erhalten kann. Gleichzeitig wird SMS als eine der am wenigsten sicheren Methoden zum Abrufen eines OTP angesehen, da das Risiko besteht, dass SMS-Nachrichten abgefangen oder umgeleitet werden. NIST empfiehlt aufgrund ihrer vielen Unsicherheiten keine Zwei-Faktor-Authentifizierungssysteme mehr, die SMS verwenden. Sie gaben neue Richtlinien zur digitalen Identität heraus, in denen sie andere Formen der Zwei-Faktor-Authentifizierung forderten.

Google Authenticator speichert geheime Schlüssel in den geschützten Speicherbereichen des Telefons. Wenn Ihr Telefon nicht gerootet ist, kann nur Google Authenticator darauf zugreifen. Sie können nicht abgefangen oder abgerufen werden. Google Authenticator ist also sicherer und zuverlässiger als SMS.

Christian
quelle
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.