Co bepieczniejsze? Google Authenticator czy SMS?

[partnercom]

Która z form uwierzytelniania logowania oraz transakcji jest bezpieczniejsza? Co do Google Authenticatora, to pomimo jego używania włamano się na moje konto Binance i ukradziono z niego środki.
Jeśli zaś chodzi o SMS to podobno jest możliwe zrobienie przekierowania numeru przez hakerów, co również może doprowadzić do utraty kryptowalut.
Z góry dziękuję za pomoc i pozdrawiam,
Piotr

[smieszny]

Ja bym wolał SMS, bo jak zgubie telefon to mogę zawsze wyrobić duplikat karty. Poza tym jest dla mnie łatwiejszym sposobem niż jakaś aplikacja. Z drugiej strony, dzięki spisaniu kodu przy rejestracji, również można odzyskać aplikację w razie stracenia telefonu. Jednak wydaje mi się, że kod na SMS jest bardziej "naturalny", ale nie wszędzie można sobie pozwolić na takie 2FA i trzeba wybierać GA.

[tuskacz]

Która z form uwierzytelniania logowania oraz transakcji jest bezpieczniejsza? Co do Google Authenticatora, to pomimo jego używania włamano się na moje konto Binance i ukradziono z niego środki.
Piotr

Ani GA ani sms nie bedzie bezpieczny dla ciebie jesli złodziej podstawi Ci spreparowaną stronę do podania kodu i natychmiast wykona operację logowania po swojej stronie. Nie slyszales jak w bankowosci elektronicznej robią oszustwa? Wlasnie poprzez spreparowane strony. Lub ewentualnie miales roota na telefonie i zostala wykorzystana jakas dziura w jego oprogramowaniu. Inaczej nie jestem sobie w stanie wyobrazic JAK ktos mogl ci ukrasc srodki.

[hassejo]

Spoiler:

Która z form uwierzytelniania logowania oraz transakcji jest bezpieczniejsza? Co do Google Authenticatora, to pomimo jego używania włamano się na moje konto Binance i ukradziono z niego środki.
Piotr

Ani GA ani sms nie bedzie bezpieczny dla ciebie jesli złodziej podstawi Ci spreparowaną stronę do podania kodu i natychmiast wykona operację logowania po swojej stronie. Nie slyszales jak w bankowosci elektronicznej robią oszustwa? Wlasnie poprzez spreparowane strony. Lub ewentualnie miales roota na telefonie i zostala wykorzystana jakas dziura w jego oprogramowaniu. Inaczej nie jestem sobie w stanie wyobrazic JAK ktos mogl ci ukrasc srodki.

ciekawi mnie możliwość wykorzystania 2FA na fake site.. jak to właściwie robią ? przecież kody google auth, są aktualne przez bodajże 30 sekund.
czy 2FA działa dla danej domeny/serwera? nie jest to jak protokoł HTTPS ?

bo się pogubiłem już szczerze mówiąc. specem od bezpieczeństwa z pewnością nie jestem.

[m.m]

nie jest to jak protokoł HTTPS ?

certyfikat można podstawić, po za tym zabezpiecza tylko komunikacje między punktami.

Dla mnie sama konieczność posiadania aplikacji dyskwalifikuje to rozwiązanie.

ciekawi mnie możliwość wykorzystania 2FA na fake site.. jak to właściwie robią ?

nigdy nie analizowałem tego tematu bo mnie to po prostu nie introgresje ale podejrzewam że tutaj podstawa znowu jest czynnik ludzki. W jakiś sprytny sposób namawiają użytkownika do wykonania jakiejś operacji lub ujawnienia danych