Asiantuntijavastauksia odotellessa yritin googletella lisätietoa.
Vertailevia artikkeleita löytyikin, ja muutamassa viitattiin artikkeliin
NIST declares the age of SMS-based 2-factor authentication over.
Osa oli sitä mieltä että turvallisuuden kannalta ero SMS-metodin ja apusovelluksen välillä on niin pieni että valinta tehdään lopulta käytettävyyden pohjalta. Mutta jos NIST on päätynyt suosittelemaan tekstiviestien korvaamista sovelluksilla, niin ilmeisesti siihen on joku tutkittu syy.
Herääkin kysymys aikooko esim. Nordea tehdä omasta tunnuslukusovelluksestaan sellaisen version jota voisi käyttää yleisenä 2-vaiheisen tunnistuksen apusovelluksena. Nordean sovellushan vaatii PIN-koodin, mutta ei vaadi verkkoyhteyttä, ja sovellus pitää erikseen käynnistää kun sitä tarvitaan, ja sen voi sulkea kun sitä ei tarvita; näin aikaikkuna jolloin toinen sovellus voisi esiintyä Nordean sovelluksena on se aikaikkuna jonka minä itse sille annan. Artikkeleiden perusteella näyttäisi siltä että Google Promptilla ei ole näitä ominaisuuksia, mutta voin olla väärässä.
Edit: Edellä mainitut NIST-dokumentit on
julkaistu noin kk sitten ja nopealla tekstihaulla ("SMS" tai "text mess") sieltä ei ainakaan helposti löydy suoranaista mainintaa siitä että tekstiviestin sijaan suositeltaisiin jotain muuta. Pitäisi lukea paperit ihan kunnolla läpi.
Aihe: Miten Google Prompt olisi turvallisempi kuin tekstiviesti? (Luettu 2697 kertaa)
