È un secondo, "vecchio" (stupido) telefono dedicato solo alla ricezione di token bancari sicuri quanto il telefono "moderno" (intelligente)?

8

I vecchi telefoni sono più sicuri / sicuri / sicuri quanto i moderni smartphone quando si tratta di token di autenticazione / conferma?

L'SMS è crittografato?

    
posta Joelty 22.11.2018 - 08:39
fonte

3 risposte

4

Da una prospettiva OpSec, direi che un secondo telefono dedicato (stupido o intelligente) è una buona idea se si considera il telefono dedicato esattamente come questo: dedicato a un caso d'uso preciso.

Riduci al minimo la superficie di attacco perché sarai meno incline agli attacchi trasmessi dal Web e aumenterai leggermente la tua sicurezza, sebbene attraverso l'oscurità (del tuo numero di telefono bancario). Tuttavia, tutto questo dipende da come gestisci il tuo secondo telefono.

Espandere su OpSec del secondo telefono, con l'input di @schroeder e @ ste-fu:

  • Utilizza una carta SIM dedicata / un numero di telefono per il servizio bancario (e non comunicare questo numero ad altri, eccetto le tue banche)
  • Non usarlo per la navigazione
  • Non utilizzarlo per la messaggistica / la comunicazione con nessuno tranne i tuoi banchi
  • (smart phone) Non installare app su di esso
  • Tienilo in un posto sicuro soprattutto se si tratta di un telefono stupido senza protezione di blocco schermo (PIN / modello ecc.)
  • (smart phone) Disattiva le notifiche di blocco schermo / nascondi il contenuto
  • Disabilita dati mobili e WiFi
  • Spegnilo quando non lo stai usando. Questa non è davvero una necessità, ma ti limiterà a compromettere il tuo OpSec. L'errore umano è sempre possibile.

Riguardo alla tua seconda domanda, ecco una risposta eccellente e approfondita sull'intercettazione / crittografia SMS.

    
risposta data 22.11.2018 - 09:04
fonte
3

Come per la maggior parte delle cose, dipende. Per l'autenticazione del fattore SMS 2 la risposta è - non proprio

La rete / telco che trasmette i dati SMS è la stessa sia che si tratti di uno smart phone o di un telefono stupido. Gli operatori di call center che ottengono l'ingegneria sociale possono consentire acquisizione del numero pertinente o della rete effettiva < a href="https://www.theregister.co.uk/2017/05/03/hackers_fire_up_ss7_flaw/"> possono essere violati e gli SMS intercettati .

Se disponevi di un account particolarmente sensibile, l'utilizzo di un telefono stupido con un numero SIM / telefono unico per quell'unico account renderebbe molto più difficile per quell'account, ma non appena inizierai a utilizzare lo stesso numero per tutto il tempo, rischi che il numero venga associato a tutti i tuoi account.

Il NIST ha pubblicato alcune indicazioni che dicono che SMS 2FA è stato deprecato anche se hanno fatto un passo indietro

    
risposta data 22.11.2018 - 10:34
fonte
1

L'uso di un telefono stupido evita molti problemi di sicurezza presenti sugli smartphone. Considero uno smartphone più un computer tascabile, con tutte le vulnerabilità di un computer desktop.

L'uso di un vecchio telefono solo per ricevere token protegge il token a riposo , perché non ci sarà alcun programma in esecuzione in grado di intercettare il token e inviarlo altrove. Ma non proteggerà il token in transito .

Siccome il tuo telco probabilmente non è sicuro, il token può essere intercettato mentre è in transito, il tuo telco può essere ingannato e trasferire il tuo servizio a un altro utente senza molte validazioni ( SIM swap attack ). I commercianti di Crypto sono solitamente bersagli di questo attacco.

Se possibile, non utilizzare SMS per ricevere token. La mia banca può inviare token o ottenere un numero da un'app di autenticazione. Ho usato quest'ultimo.

    
risposta data 27.11.2018 - 13:19
fonte

Leggi altre domande sui tag