Quale metodo di verifica dovrei scegliere: SMS o chiamata?

13

Voglio abilitare l'autenticazione a due fattori per il mio account Outlook, ma non sono sicuro di quale metodo dovrei scegliere o in altre parole quale metodo è più sicuro?

Come ho detto ci sono due opzioni: testo e chiamata e penso che ci siano alcuni vantaggi e svantaggi di entrambi i metodi.

    
posta iduno 19.06.2016 - 18:23
fonte

4 risposte

16

Chiamare è più sicuro, per leggere i tuoi sms hai bisogno solo di un semplice programma, mentre per il monitoraggio delle tue chiamate hai bisogno di una persona reale, aumentando così lo sforzo di molto.

La lettura degli sms è qualcosa che puoi fare su tutti i telefoni che vuoi, mentre l'ascolto di tante chiamate allo stesso tempo è impossibile (a meno che tu non sia l'NSA, immagino). Anche se hai trovato il modo di registrare semplicemente la chiamata e poi inviarla, lo sforzo di programmazione qui è molto più grande e hai anche bisogno di molta più potenza di elaborazione e larghezza di banda, riducendo ancora una volta la possibilità che tu ne venga catturato.

modifica: voglio solo aggiungere, ovviamente gli altri ragazzi che parlano del tuo modello di minaccia sono corretti. Se lasci il telefono in giro e le persone possono semplicemente prenderlo e ascoltare il codice, ovviamente gli sms sarebbero migliori. Ma poi di nuovo, se non hai nemmeno un blocco su di esso, non importa.

Come puoi vedere, sì, dipende, ma se hai un passcode e non stai lasciando il telefono in giro, le chiamate sono migliori.

    
risposta data 19.06.2016 - 19:10
fonte
14

Dipenderà davvero dal tuo modello di minaccia.

Gli SMS potrebbero essere più facili da individuare o essere intercettati da un'app dannosa sul telefono. Quindi, se sei preoccupato per questo tipo di attacco, potrebbe essere meglio usare l'opzione di chiamata.

Tuttavia, la maggior parte dei telefoni non richiede lo sblocco di un dispositivo per accettare una chiamata, quindi se lasci il telefono incustodito, sulla scrivania, (o viene rubato) uno potrebbe usarlo per ottenere un codice, mentre per un SMS potresti bloccarlo Naturalmente la maggior parte delle persone al giorno d'oggi non lascia mai lo smartphone incustodito, ma questo è solo un esempio di come la definizione del modello di minaccia sia importante.

Per me, come SECONDO fattore di autenticazione, se non posso scegliere un generatore di OTP come Google Authenticator, uso gli SMS per non dover rispondere alle chiamate, che non è sempre conveniente, e anche perché non vedo SMS annusando come una possibilità reale nei miei casi d'uso. Tuttavia, come sottolineato nei commenti di @cornelinux, l'autenticatore di Google è vulnerabile a determinati attacchi alla fase "accordo segreto", quindi di nuovo: definisce e controlla il tuo modello di minaccia.

    
risposta data 19.06.2016 - 20:59
fonte
6

Nessuno dei due. Sia gli SMS che le chiamate telefoniche possono essere inoltrati a un telefono di scelta di un utente malintenzionato se quell'attaccante può ingannare il fornitore di telefonia mobile a credere che lui o lei sia te. Gli attacchi di dirottamento di account mobili come questo non sono estremamente comuni (ancora), ma sono sicuramente in aumento .

L'opzione migliore (come menzionato brevemente da @Jedi) consiste nell'utilizzare un'app di autenticazione per generare codici monouso che possono essere utilizzati come secondo fattore per accedere al proprio account MS. (Sia per accedere a Outlook.com o qualsiasi altro servizio Microsoft consumer.) Le informazioni su come impostare esattamente ciò possono essere trovate qui . In termini di sicurezza di questo approccio, nel peggiore dei casi dipende dalla facilità con cui un utente malintenzionato può (1) ottenere il possesso fisico del telefono e rubare il segreto condiviso che l'app autenticatore utilizza per calcolare i codici una tantum dalla memoria del telefono o (2) comprometta completamente il telefono tramite un attacco remoto e fa lo stesso. La difficoltà per un utente malintenzionato di eseguire una di queste operazioni dipende in gran parte dal sistema operativo del telefono, dalla configurazione e dagli elementi di sicurezza hardware. Ma è molto probabile che, attraverso la corsa delle cose, intraprendere questa strada renderebbe il lavoro di un aggressore molto più difficile rispetto all'utilizzo di SMS o codici audio durante la chiamata.

(Ovviamente, questo non significa necessariamente che l'approccio dell'app per l'autenticatore del telefono sia migliore di ogni altra possibile tecnologia di autenticazione che esiste attualmente. Una smartcard o un approccio con chiave USB hardened sarebbe probabilmente più robusto, come sarebbe un meccanismo di challenge-response ad alta sicurezza implementato con un token hardware dedicato [esempio] , così come .... Ma qui stiamo parlando delle opzioni 2FA che l'autenticazione dell'account Microsoft supporta oggi.)

    
risposta data 20.06.2016 - 09:50
fonte
3

Dipende dalla frequenza con cui è necessario autenticarsi e dal modello di minaccia percepito. Se la chiamata è orecchiata o che l'SMS viene sniffato, non dovrebbe essere importante finché proteggi la password e tieni d'occhio l'attività del tuo account.

Personalmente trovo che il meccanismo SMS arrivi più veloce e meno invadente (specialmente in classe o riunioni). Come dice @ user2765654, chiamare sniffing è più difficile da automatizzare, ma gli strumenti diventeranno più comuni se guadagneranno popolarità (riconoscere i numeri è il compito di riconoscimento vocale più semplice). Sarebbe anche meglio usare un'app di autenticazione, credo che ora sia supportata anche da Outlook.

    
risposta data 19.06.2016 - 19:18
fonte

Leggi altre domande sui tag