Mengapa saya harus menggunakan aplikasi Google Authenticator alih-alih SMS?

10

Saya menggunakan otentikasi dua faktor Google, karena saya tahu bahwa akses ke akun email saya adalah kunci kerangka untuk semua akun saya yang lain .

Dan ... itu sangat menjengkelkan - Saya sering bertukar komputer dan perangkat lain, dan menggunakan banyak aplikasi asli yang memerlukan akses ke akun google saya, tapi saya tahu itu yang paling tidak perlu saya lakukan untuk melindungi email saya, karena itu satu-satunya hal antara saya dan tidak pernah melakukannya dengan baik yang mungkin ingin mengatur ulang kata sandi Netflix saya dan streaming film buruk yang bisa mengacaukan rekomendasi saya.

Cara utama untuk mendapatkan kode login yang Anda butuhkan (selain kata sandi Anda) untuk autentikasi dua faktor Google adalah melalui aplikasi Google Authenticator yang dapat Anda instal di ponsel Anda.

Tetapi, jika Anda belum menginstalnya, atau tidak diatur, atau ada yang salah, mereka akan mengirimkan kode melalui SMS, yang disajikan sebagai metode cadangan. Yang membawa saya ke pertanyaan saya. Dengan asumsi saya nyaman dengan keamanan komunikasi SMS saya:

Bukankah SMS cara yang lebih baik untuk mendapatkan kode, setidaknya dari sudut pandang kenyamanan?

Jika saya menonaktifkan autentikator (memicu kode SMS), setiap kali saya membutuhkan kode, itu langsung didorong ke ponsel saya, tanpa tindakan dari saya, dan muncul di layar mana pun saya aktif. Saya selesai.

Dengan Authenticator berjalan, saya harus membuka kunci ponsel saya, membuka authenticator, memilih kode yang tepat (saya memiliki dua akun Google), berharap kode tidak akan kedaluwarsa (teks mengirim satu yang "segar"), dll.

Saya sepenuhnya mengerti bahwa SMS sedikit kurang terlindungi: Seseorang yang memiliki ponsel saya (dan mungkin kata sandi saya), tetapi tidak dapat membuka kunci ponsel dapat melihat notifikasi SMS, tetapi tidak dapat membuka Authenticator. Tapi itu merupakan pukulan panjang. Ada juga fakta bahwa layanan seperti iMessage mendorong SMS ke perangkat lain, seperti Mac, iPad, dll. Tetapi sekali lagi, dengan asumsi bahwa saya baik dengan kendali akses saya ke SMS saya:

Apakah ada alasan untuk menggunakan Aplikasi Google vs. hanya mendapatkan teks?

Jaydles
sumber

Jawaban:

9

Authenticator berfungsi bahkan ketika Anda tidak memiliki jaringan apa pun yang tersedia untuk ponsel cerdas Anda.

Saya tidak tahu tentang penyedia seluler Anda, tetapi saya tidak percaya pada milik saya untuk mengirimkan pesan SMS dalam bentuk apa pun yang menyerupai waktu yang tepat.

Selain itu, ini lebih aman, seperti yang telah Anda catat.

bir
sumber
Google Authenticator memiliki penghitung waktu mundur visual sehingga Anda selalu tahu kapan kode akan berubah berikutnya. Memilih kode yang tepat juga mudah. Saya memiliki 6 akun (2 Gmail) di Authenticator
Kevan Sheridan
Ini jawaban yang bagus - saya belum memikirkan itu. Akan menerima besok, dengan asumsi tidak ada yang muncul yang tampaknya lebih relevan. Karena penasaran, apakah Anda tahu cara melakukannya tanpa koneksi? Saya menganggap itu hanya cache sejumlah kode dalam aplikasi, sehingga Anda memiliki cukup untuk mengisi beberapa periode waktu, meskipun saya kira itu juga bisa menghasilkan mereka dalam aplikasi (mungkin tanpa batas waktu) dalam beberapa apa yang direplikasi di sisi server.
Jaydles
Saya tidak memiliki wawasan khusus tentang Google's Secret Sauce ™. Apa yang saya baca tentang sistem lain yang serupa adalah bahwa algoritma tersebut menggunakan kunci bersama (mengapa Anda perlu memindai kode QR) dan waktu untuk menghasilkan angka enam digit setiap 60 detik.
ale
Google autentikator hanya membungkus kata sandi yang dibuat secara otomatis dan dihasilkan berdasarkan waktu (dibulatkan ke 30 detik berikutnya) atau penghitung dan kata sandi yang kuat, kata sandi satu kali.
allo
Algoritma ini sangat sederhana, lihat en.wikipedia.org/wiki/… . Authenticator default menggantikan penghitung dengan cap waktu, tetapi Anda secara opsional dapat menggunakan penghitung di aplikasi yang paling otentikator, yang membantu ketika jam Anda tidak disinkronkan dengan jam server.
allo
1

SMS adalah cara paling umum untuk mengirimkan OTP. Ini nyaman karena hampir semua orang memiliki telepon sehingga mereka dapat dengan mudah mendapatkan SMS. Pada saat yang sama, SMS dianggap sebagai salah satu metode yang paling tidak aman untuk mendapatkan OTP karena risiko pesan SMS dapat dicegat atau dialihkan. NIST tidak lagi merekomendasikan sistem otentikasi dua faktor yang menggunakan SMS, karena banyak ketidakamanannya. Mereka mengeluarkan Pedoman Identitas Digital baru yang mendesak untuk menggunakan bentuk lain dari otentikasi dua faktor.

Google Authenticator menyimpan kunci rahasia di area memori ponsel yang dilindungi. Jika ponsel Anda tidak di-rooting, hanya Google Authenticator yang dapat mengaksesnya. Mereka tidak dapat dicegat atau diambil. Jadi, Google Authenticator lebih aman dan dapat diandalkan daripada SMS.

Kristen
sumber