Por que o Google Authenticator não faz notificações push (como Okta ou Duo)?

A resposta curta: a tecnologia subjacente é realmente diferente, mesmo que notificações push, mensagens de texto e os códigos do aplicativo estejam todos funcionando para provar a mesma coisa.

A resposta longa:

Existem três possíveis "fatores" de autenticação:

>ul>>li> Algo que você sabe, como uma senha>li> Algo que você tem, como o seu telefone>li>li> Algo que você é, como a sua impressão digital>p>A autenticação de dois fatores é qualquer sistema que utiliza dois fatores diferentes para logá-lo, neste caso, o conhecimento da sua senha e a posse do seu telefone.

Todas as tecnologias de que você está falando estão trabalhando para provar que você tem posse do seu telefone.

Mas como elas estão provando que envolvem tecnologias radicalmente diferentes. Apesar de ter o nome do Google, o Google Authenticator é na verdade um projeto de código aberto baseado em um padrão chamado One Time Based One Time Password (TOTP). A idéia é salvar a mesma semente no seu telefone e no servidor, então use a semente e o tempo para gerar uma nova TOTP a cada 30 segundos.

Você pode usar TOTP para fazer login com Okta e Duo, mas como eles estão construindo produtos corporativos, ambas as empresas querem dar aos seus clientes o máximo de opções possíveis. Onde o Google Authenticator é uma implementação open source de um padrão, Okta e Duo têm equipes de vendas e marketing que esperam satisfazer as necessidades de clientes exigentes. Eles também suportam chamadas telefônicas, mensagens de texto e vários outros mecanismos para autenticação de dois fatores.

Então tanto o Okta como o Duo implementaram as notificações de pressão que você está referenciando. As notificações push não são TOTP, mas sim baseadas em criptografia de chave pública assimétrica. Com a criptografia de chave pública, em vez de uma semente compartilhada, existem duas peças diferentes - uma chave pública e uma chave privada. A chave pública é armazenada no servidor da empresa, e a chave privada é armazenada no aplicativo no telefone. Quando você vai para o login, Duo ou Okta enviam um segredo aleatório para o seu telefone com a notificação push. Quando você confirma o login, o aplicativo usa a chave privada para assinar o segredo, e envia a assinatura de volta para o servidor da empresa. O servidor pode então usar a chave pública para verificar a assinatura, e então entrar sabendo que você confirmou a mensagem do seu telefone.

Usar criptografia de chave pública é mais seguro que TOTP por algumas razões:

1. A chave pública no servidor não pode ser usada para entrar. Se a semente TOTP for roubada do servidor, ela pode ser usada para criar seus códigos de login. Entretanto, se a chave pública for roubada, ela não pode ser usada para criar assinaturas (só pode verificá-las, a chave privada é a única que pode criá-las).
2. As notificações push acontecem "fora da banda", o que significa que elas estão sendo confirmadas através de um canal diferente dos códigos TOTP. Se um atacante for capaz de interceptar suas teclas ou tráfego web, eles podem interceptar tanto sua senha como seu código TOTP. No entanto, se você estiver usando notificações push, o atacante só será capaz de interceptar sua senha. Phishing ainda é possível com criptografia de chave pública, mas requer ataques em vários canais, ao invés de apenas um.

p>O próprio Google usa notificações push para fazer autenticação de dois fatores, mas eles usam a aplicação Google para fazer isso, não o Google Authenticator. Não parece provável que o Google Authenticator acrescente suporte a notificações push porque o Google Authenticator é muito mais estritamente uma implementação do padrão TOTP, não uma solução geral de autenticação de dois fatores como Duo ou Okta.