Attacchi uomo nel mezzo per autenticazione fuori banda

6

Stavo facendo ricerche sui metodi per evitare l'uomo negli attacchi centrali. Ho pensato di usare l'autenticazione fuori banda ma ho letto l'articolo di wikipedia sullo stesso argomento che segue le seguenti parole:

"Nell'autenticazione, out-of-band si riferisce all'utilizzo di due reti o canali separati, uno dei quali diverso dalla rete o dal canale principale, utilizzato simultaneamente per comunicare tra due parti o dispositivi per l'identificazione di un utente. è comunemente usato per l'autenticazione fuori banda. Un esempio di autenticazione fuori banda è quando un utente di servizi bancari online accede al proprio conto bancario online con un login e una password una tantum viene inviata al proprio telefono cellulare tramite SMS per identificare Il canale principale sarebbe la schermata di accesso online in cui l'utente inserisce le proprie informazioni di accesso e il secondo canale separato sarebbe la rete cellulare.Questo ulteriore livello di sicurezza impedisce la possibilità che hacker e malware compromettano l'accesso al processo di autenticazione completo, tuttavia, questo metodo di autenticazione di un utente è noto per essere vulnerabile agli attacchi man-in-the-middle (MITM). "

Qualcuno può spiegare perché la linea in grassetto è vera? Per dirla in un modo diverso, in che modo un'autenticazione fuori banda come gli sms è vulnerabile agli attacchi man in the middle?

    
posta Karan 02.04.2013 - 13:43
fonte

3 risposte

6

La minaccia è quando il MITM possiede la schermata di accesso.

Se, ad esempio, fai clic su un link in un'e-mail che pretende di essere un link per link ma in realtà è un link a link , e inserisci il nome utente e la password che utilizzi per il tuo sito web della banca, Evil Bob ha solo bisogno di inoltrarli.

Quindi, link che non sa che è il sito Web di EvilBob che invia le tue credenziali e non te, invia diligentemente un codice di autenticazione al tuo telefono e aspetta la tua risposta Tuttavia, sei ancora su link , che ha accettato nome utente e password e ti ha presentato un campo di input per digitare il codice di autenticazione che hai stai per ricevere sul tuo telefono.

Quindi, inserisci il codice di autenticazione in link , che gira intorno e lo invia a link e il sito Web di Evil Bob è ora connesso all'interfaccia di banking online.

Questo è l'uomo nella minaccia di mezzo per un'autenticazione a due fattori fuori banda.

    
risposta data 06.05.2013 - 22:58
fonte
2

L'autenticazione fuori banda si basa sulla difficoltà aggiunta che un utente malintenzionato deve affrontare quando tenta di intercettare simultaneamente due comunicazioni. Questa difficoltà si presenta a causa del fatto che i due canali sono completamente separati.

Un attaccante che può portare insieme i due canali sconfigge questa difesa. Nel caso del malware Zeus , un PC infetto tenta di infettare i dispositivi mobili tramite USB o bluetooth. Una volta che questo si è verificato, l'attaccante controlla ciascuno dei terminali client utilizzati nell'autenticazione a due bande, ha effettivamente riunito i canali.

In particolare, Zeus tenterà di effettuare il login tramite PC, attendere l'arrivo dell'SMS sul dispositivo mobile e comunicare l'SMS al PC (malware e malware). Tutto questo accade senza alcuna indicazione per l'utente di entrambi i dispositivi.

Il problema qui è che stiamo usando due dispositivi intelligenti come terminali client. I dispositivi intelligenti hanno stack di protocollo e vulnerabilità del software. Token hardware "stupidi" come HOTP fobs non hanno questi problemi e non possono essere sovvertiti, che è uno motivo per preferire il loro utilizzo.

    
risposta data 07.05.2013 - 15:31
fonte
2

Ho scritto l'articolo originale di wikipedia citato sopra. Alcuni dei commenti offerti sopra sono corretti, mentre altri non lo sono. In breve, TUTTI i metodi out-of-band sono vulnerabili agli attacchi man-in-the-middle perché l'entità di autenticazione non può verificare l'autenticità dell'entità che fornisce le credenziali di autenticazione. Che si tratti di un token hardware, di un token "stupido" o di un codice inviato a un telefono, il processo rimane vulnerabile. Benché i fob connessi siano più sicuri, essi si basano comunque sulle informazioni trasmesse dal fob al sito Web in attesa (che potrebbe essere un sito Web contraffatto costruito esclusivamente per ottenere tali informazioni). L'unico processo attualmente in grado di mitigare tutti gli attacchi man-in-the-middle è il processo token virtuale, che è un'offerta commerciale basata sullo standard di "identificazione di dispositivi complessi" raccomandato dalla FFIEC.

    
risposta data 23.02.2016 - 16:34
fonte

Leggi altre domande sui tag