Devo eliminare i messaggi SMS contenenti password monouso?

Come al solito, iniziamo definendo il modello di minaccia: sei preoccupato che qualcuno possa afferrare il tuo telefono e guardare attraverso la cronologia degli SMS. Ma non sei preoccupato che gli SMS vengano intercettati. Questo è un po 'strano modello di sicurezza perché intercettare gli SMS è davvero semplice, e rubare il telefono e ottenere una password sicura è relativamente difficile. Ma ok.

Say if the authentication of the site use an insecure algorithm for the one-time password generation. Given enough history of the one-time passwords, someone who manages to retrieve the SMS stored on my phone could derive the next one-time password in the sequence.

Ovviamente non posso garantire che ogni sito su Internet faccia OTP correttamente, ma è uno standard abbastanza definito. Vedi wikipedia / Time-based_One-time_Password (e il più generale wikipedia/HOTP ). Poiché si basa su potenti funzioni hash crittografiche, non vi è alcun rischio che un attaccante derivi valori futuri da quelli precedenti. Oppure, se possibile, la funzione di hash sarebbe considerata interrotta e la ritirerebbero in favore di una migliore.

È anche possibile che un sito Web non stia implementando correttamente la parte "una tantum" delle password monouso, ma voglio dire, questa è una parte piuttosto basilare dell'implementazione di un sistema OTP.

Come suggerisce il nome, l'OTP è per un solo utilizzo e per lo più implementato con un limite di tempo (da 2 a 3 minuti). Quindi una volta che hai usato il tuo OTP (arrivato tramite SMS) o il tempo limite trascorso, l'OTP non è più valido.

Quindi la probabilità che qualcuno rubi il tuo telefono e usi l'OTP è molto bassa. E l'utente malintenzionato dovrebbe sapere qual è il sito a cui accedi per utilizzare questo OTP.

Ma l'OTP può essere catturato dagli attaccanti prima di consegnarli sul tuo cellulare. Esistono soluzioni avanzate come HOTP (algoritmo One-Time Password basato su HMAC) per superare questo attacco Man in the Middle sul trasferimento OTP.

ALGORITMO PASSWORD SEMPRE BASATO SU HMAC:

Questo algoritmo si basa su due cose fondamentali: un segreto condiviso e un fattore di movimento (un contatore ka). Come parte dell'algoritmo, un hash HmacSHA1 (per essere precisi è un codice di autenticazione dei messaggi basato su hash) del fattore di spostamento verrà generato utilizzando il segreto condiviso. Questo algoritmo è basato su eventi, il che significa che ogni volta che viene generato un nuovo OTP, il fattore di spostamento verrà incrementato, quindi le password generate successivamente dovrebbero essere diverse ogni volta.

Fonte: link

Spero che questo chiarisca la tua preoccupazione.

Se il sito che invia le password monouso utilizza un buon algoritmo (come HOTP ) e implpements correttamente, non c'è alcun valore nell'eliminazione dei vecchi messaggi. D'altra parte, se il sito utilizza qualche stupido homebrew o non riesce a implementare correttamente le cose, l'eliminazione dei messaggi potrebbe essere utile.

Quindi come fai a sapere di che caso è? Non lo fai. Dovrai pensare a quanto siano preziose le informazioni che stai cercando di proteggere e quanto ti fidi delle persone che gestiscono il sito. Personalmente, non mi sono mai preoccupato di cancellare questi messaggi, e non credo che consiglierei anche agli utenti "normali" di farlo.

E un altro aspetto: se qualcuno è in grado di leggere vecchi messaggi dal tuo telefono, non sarebbe in grado di leggerne di nuovi? Se è così, cancellare quelli vecchi non aiuta, dal momento che l'attaccante può semplicemente innescarne uno nuovo e leggerlo (supponendo che lei conosca il primo fattore).