双因素认证方法:密码+短信/语音信息与密码+应用程序生成的代码？

Question

我在想，当使用Pebble作为用户端时，哪些双因素身份验证方法是最可靠和安全的，谁能够看到自己的短信，但不接电话：

• 密码+短信(两处显示)或密码+语音通话(仅由您的电话接收)

这两种情况在你手机被盗的情况下都是可见的。将此方法与在Android系统中使用密码+电话应用程序生成的一次性代码进行比较。我无法评估在Android手机中生成一次性密码的应用程序的安全性。访问它取决于您的密码到您的电话。直觉表明，它可能比短信/语音通话更强大。但是应用程序中可能存在的漏洞呢？

如何评估这两种方法的安全性？为什么一个设计良好的Android应用程序比短信/语音通话更安全？

Answer 1

一个精心设计的应用程序在你的手机上更安全。

在传递电话或短信时存在大量漏洞。它们包括扰乱电话路由表，以及诸如可以收集短信并将其作为电子邮件路由的系统。

如果您的手机正在运行应用程序，那么这些传递和路由问题并不重要。如果它是不安全的，要么是因为它被偷了，要么是被攻击者接管了，那么在这两种情况下你都不走运。

Answer 2

作为对Adam答案的扩展，值得指出漏洞的所在。

除了在途中截取消息的问题(我不知道关于内部电话路由系统的大量信息，也不知道操纵它们有多容易)，最大的区别是短信/呼叫通常被推送到设备上，并且倾向于绕过很多访问限制(大多数SMS消息显示为锁定屏幕上的通知，我也不知道有多少手机需要密码才能回答)。

然而，一个应用程序将是一个拉系统，个人将需要访问手机操作系统，打开应用程序，并请求代码。这意味着手机的安全功能增强了产品的安全性。

假设员工的电话被盗(不超出可能范围)，并且犯罪者能够知道/猜测/推断员工的密码。一旦进行了检查，就会发送/SMS电话，并在不触及电话访问控制的情况下轻松访问(或者通过传输SIM，如果这是需要的话)。然而，同样的犯罪者将无法访问应用程序，也无法登录。

这个问题与同时发生有关的问题也有一个延伸。如果您使用的是应用程序生成的代码，这可能与用户名和密码同时输入，这意味着所有3都必须是正确的，如果找不到匹配项，则不会给出任何关于不正确字段的提示。

由于调用和SMS是按下的，所以在进行第二个因素身份验证之前，需要对用户名和密码进行验证，从而使攻击者知道他们的凭据是正确的。