Sia il mittente che il destinatario hanno cancellato il testo dopo che è stato inviato, ma è ancora possibile che esista da qualche parte e che qualcuno possa accedervi?
Non è assolutamente sicuro. I messaggi di testo funzionano essenzialmente allo stesso modo dell'e-mail: il tuo client (telefono) lo inoltra a un server, che quindi cerca una destinazione che può trovarsi su un'altra rete (carrier) e poi la invia su una casella di posta fino a il telefono lo ottiene.
Ovunque lungo il percorso può essere copiato, conservato più a lungo del previsto, ecc. Intercettazione legale, intercettazione illegale, telefoni clonati, account Google+, ecc. sono tutti modi in cui un messaggio può finire in qualche luogo inaspettato e tutto ciò presuppone che ti fidi del telefono e software su di esso.
Il testo libero è testo compromesso. Sempre.
L'invio della password tramite sms / sms era, per quanto posso dire, originariamente pensata per essere utilizzata per garantire che la password arrivasse attraverso un mezzo diverso dal file crittografato per cui stavi ricevendo la password.
Un file crittografato verrà inviato tramite e-mail e l'utente riceverà un sms in testo semplice sul suo telefono con una password. Ciò richiederebbe un ladro per rubare sia il laptop (o l'accesso alla casella di posta elettronica) sia il telefono (o l'accesso alla casella di posta sms del telefono) per avere sia file che password.
Attualmente, gli smartphone sono spesso impostati per fungere anche da caselle di posta, il che significa che, anche se lo si invia come messaggio di testo, si avrà comunque sia la chiave che il messaggio crittografato sullo stesso dispositivo. Se il telefono viene successivamente rubato e l'email risiede ancora nella posta in arrivo accessibile dal dispositivo, significa semplicemente che il ladro deve anche controllare i messaggi di testo inviati nello stesso periodo e probabilmente dallo stesso contatto per le password, se vuole aprirlo.
Quindi, mentre l'invio di password in chiaro non è mai stato sicuro, in passato ha funzionato abbastanza bene per noi. Il fatto che stiamo ancora perpetuando questa abitudine ora che molti dei nostri telefoni sono anche caselle di posta elettronica mobili, però, è ... un po 'peggio, immagino?
'Sicuro' non è un assoluto. È un errore pensare in termini di sicurezza o non sicurezza. È necessario valutare la sicurezza nel contesto: chi sono gli utenti, qual è la minaccia, qual è il valore della cosa protetta, ecc. Quali sono tutti i controlli in atto? Il messaggio di testo è l'unico bit di informazione richiesto o è solo parte di una catena di autenticazione / autorizzazione?
Altre risposte hanno evidenziato che i normali messaggi SMS sono molto simili alle e-mail in quanto non si ha conoscenza o controllo su quali server attraversano il messaggio e quindi, la conoscenza di quanto affidabili siano le società, gli amministratori di sistema ecc. Non puoi conoscere il livello di monitoraggio del governo ecc.
Esistono numerosi articoli di notizie recenti sugli errori dell'autenticazione in due passaggi che utilizza i messaggi SMS per inviare un codice aggiuntivo che deve essere inserito. In realtà, questa non è un'autenticazione a due fattori, ma piuttosto un'autenticazione a due fasi, ma questa è un'altra storia.
Il "thread" comune in questi hack che è stato in grado di sconfiggere l'autenticazione in due passaggi non riguarda il messaggio SMS che viene intercettato o rubato durante il trasporto - è in realtà molto più semplice e utilizza l'approccio più semplice e low-tech - ingegneria sociale . Fondamentalmente, questi sistemi sono stati aggirati semplicemente contattando il fornitore di celle del destinatario e convincendoli, attraverso varie tecniche di ingegneria sociale, che sono il legittimo proprietario e hanno bisogno di avere il loro numero inoltrato a un nuovo telefono - di solito un po 'di telefono. Una volta fatto, il messaggio SMS viene semplicemente reindirizzato al telefono del bruciatore dei cattivi e non importa quanto sia sicuro o meno il processo di trasporto. Questo è il motivo per cui, se sei davvero preoccupato, dovresti optare per una soluzione che non usi SMS, preferendo qualcosa come google authenticator in esecuzione sul tuo dispositivo. Come al solito, questo è tutto un gioco tra convenienza e livello di minaccia. Per molte persone, gli SMS potrebbero essere sufficienti, ma per gli altri che hanno maggiori probabilità di essere presi di mira, è un rischio troppo elevato e, come menzionato da altri, lo scopo / tipo del messaggio SMS è anche rilevante - una password completa che dà pieno l'accesso senza altre informazioni richieste è un rischio molto più elevato di un token una tantum con una durata / uso limitata che è solo una parte di una catena di cose che devono essere utilizzate per ottenere l'accesso.
Ecco un riepilogo interessante della crittografia GSM dei messaggi di testo: Quanto è difficile intercettare SMS (autenticazione a due fattori)?
Da quanto ho capito, i messaggi di testo sono criptati mentre passano attraverso l'aria. La scheda SIM fornisce informazioni per crittografare il messaggio e il provider di celle ha le informazioni necessarie per decrittografarlo. (Di recente è emerso che la NSA aveva violato i database del produttore di circa il 90% di tutte le carte SIM del mondo, una società nei Paesi Bassi di cui non ricordo il nome, e ha imposto i dati necessari per decodificare il testo messaggi per tutte le schede SIM prodotte dal produttore)
Il fornitore di servizi fa quindi tutto il necessario per ottenere il messaggio di testo nella destinazione prevista, e non ho idea se ciò implichi la crittografia o meno. È diverso dall'e-mail in quanto i messaggi di testo passano attraverso le reti di uno o più fornitori di servizi da consegnare e vengono crittografati nei suoi punti più vulnerabili quando attraversano l'aria dove chiunque potrebbe concepibilmente intercettarlo.
Anche i messaggi di testo sono diversi dall'e-mail in quanto non viaggiano attraverso l'Internet aperto come e-mail dove chiunque potrebbe vederlo passare. I fornitori di servizi e le organizzazioni governative come la NSA potrebbero facilmente ottenerlo avendo una presenza nella rete del fornitore di servizi, ma è improbabile che l'attore malintenzionato medio riesca a entrare nella rete del fornitore di servizi. Finché ti fidi dei fornitori di servizi (sia tu che il fornitore della destinazione), non hai paura che le organizzazioni governative prendano la tua password, e sei sicuro che nessun altro leggerà il telefono del destinatario, quindi penso che mandare un la password tramite il testo non è un problema. È un meccanismo di consegna molto diverso rispetto alle e-mail.
Con iMessage (l'app di testo standard) su iPhone e iPad, i messaggi vengono crittografati in modo sicuro dal mittente al destinatario. I messaggi vengono crittografati utilizzando la chiave pubblica del destinatario e possono essere decifrati solo utilizzando la chiave privata del destinatario, che solo il ricevitore ha. Noterò che è teoricamente possibile che iMessage crittografi anche con una chiave pubblica speciale a cui Apple o la NSA hanno accesso in modo che questi messaggi possano essere letti da loro, ma solo il detentore della chiave privata sarebbe in grado di decifrare esso. Apple sostiene che non sta facendo nulla del genere, quindi se ti fidi di Apple, nessuno può leggere quei messaggi. La funzionalità di crittografia iMessage viene utilizzata solo quando sia il mittente che il destinatario utilizzano i prodotti Apple.
Ci sono anche prodotti di messaggistica sicura garantiti come Threema, dove l'enfasi è sulla crittografia che nessuno, tranne il ricevitore, può decifrare, ma che è eccessivo per l'invio di password a mio parere.
Uno dei poster sopra riportati è corretto in quanto la sicurezza non è una domanda si / no. È uno spettro da estremamente insicuro a molto sicuro. La sicurezza per i veri paranoici è molto difficile, quindi devi solo scegliere qualcosa che sia abbastanza buono per te.
No.
Sopra le risposte lo hanno inchiodato. Ci sono modi per bluesnarf un cellulare se il bluetooth è lasciato acceso - lasciando il telefono compromesso. Ci sono anche modi per recuperare testi, foto, dati cancellati su un cellulare usando FTK o qualsiasi strumento legale forense digitale se qualcuno ha accesso fisico al telefono.