Nella mia app web (tutto funziona con HTTPS), invio all'utente un SMS con un codice a 5 cifre univoco al numero di cellulare che fornisce. Chiedo quindi all'utente di inserire nel browser il codice che ha ricevuto. Oltre alla pura fortuna di indovinare le 5 cifre, è sicuro al 100% o c'è un modo per moderare con questo metodo?
Grazie.
Dirò di no. Mentre l'SMS è un secondo fattore generalmente accettato, ci sono stati un certo numero di casi in cui un utente malintenzionato ha utilizzato l'ingegneria sociale per entrare nell'account di un utente e prelevare il codice di verifica e usarlo. Quindi, per rispondere alla tua domanda, è sicuro al 100% oltre a indovinare, no.
EDIT: per aggiungere a questa informazione, anche Il NIST sta rimuovendo SMS come secondo fattore valido dai loro standard di sicurezza.
Ciò che descrivi non è assolutamente un approccio sicuro. I messaggi SMS vengono trasmessi via etere senza garanzia di crittografia.
Possono essere intercettato e registrato .
Inoltre, i tuoi messaggi SMS sono sicuri quanto il tuo provider. Gli hacker possono eseguire un attacco di social engineering: come convincere un supporto tecnico di carrier cellulari a inviare messaggi a un dispositivo controllato dall'hacker .
È un canale pubblico non sicuro e dovrebbe essere trattato come tale. L'aggiunta del tipo di verifica SMS è meglio di niente, ma ci sono rischi che potrebbero non essere accettabili nel contesto della tua applicazione. Se stiamo parlando di autenticazione ci sono metodi molto migliori.
Più:
Ovviamente non è sicuro al 100%. Inoltre, il NIST sta aggiornando la sua linea guida per l'autenticazione digitale e sta per vietare SMS .
Dovresti usare altri mezzi di 2FA quando l'utente si registra. Potresti anche utilizzare un'app per smartphone, anche se questo fa schifo, .
Non otterrai il 100%, ma se vuoi diventare veramente alto, devi spedire smartcard con certificati x509 o almeno un Yubikey auto-inizializzato.
Offre un certo livello di sicurezza ma è sicuro quanto il servizio clienti del corriere. Per esempio. si possono conoscere alcune informazioni di base su di te come indirizzo, nome da nubile della madre ecc ... chiamare il corriere, trasferire il numero e dirottare qualunque sia l'intenzione ...
Circa 4 mesi fa c'è stata un'ondata di popolari Internet personali (e dei loro operatori di telefonia mobile) che si sono strutturati socialmente per bloccare e riemettere le loro schede SIM a terzi. Da lì, con la verifica in due passaggi che invia SMS ai loro telefoni, i cattivi sono riusciti a modificare i social media e altri account di altre persone.
Un video su questo da H3H3Productions (probabilmente nsfw language).
Quindi, a parte le questioni tecniche relative alla comunicazione tramite cellulare, l'aggiunta di SMS come opzione di verifica crea opportunità per l'ingegneria sociale.
Leggi altre domande sui tag authentication sms