Alternative a SMS come canale out-of-band

Naviga le tue risposte
6

Sto guardando la funzionalità di reimpostazione della password per un progetto su cui sto lavorando. Osservando le linee guida OWASP, suggerisce di utilizzare SMS come canale fuori banda per questo. ( link )

Tuttavia, il NIST sembra sconsigliare questo. Se il codice per gli SMS dovesse scadere (diciamo tra 20 minuti) questo ridurrebbe il rischio di usare SMS. O l'SMS è completamente disapprovato nel suo stato attuale?

    
posta Chri3 18.09.2017 - 13:44
fonte

1 risposta

5

La scadenza del token SMS in 20 minuti non attenuerà l'attacco. I cattivi attori possono utilizzare gli attacchi di routing SS7 o l'ingegneria sociale per accedere ai messaggi di testo. Gli attacchi di social engineering sono molto meno tecnici e facili da fare. Essenzialmente implicano:

  1. Chiama il tuo operatore di telefonia cellulare
  2. Autenticazione come te o semplicemente convincere il rappresentante dell'assistenza clienti ad aiutarli. (Vedi: link ). La recente violazione di Equifax rende ancora più semplice questo dato che i cattivi ora possono rispondere alle domande sulla sicurezza (in molti casi).
  3. Modifica dell'IMI del tuo telefono al telefono del masterizzatore (ad esempio quello che è successo qui: link ).
  4. Avvio delle reimpostazioni della password (alla tua e-mail o ad altri servizi) con messaggi di testo, che vengono ora indirizzati al telefono del bruciatore.

Una volta che hanno acquisito il controllo e l'accesso a pochi account principali (i tuoi messaggi di testo e la tua email principale) hanno le chiavi del regno e possono prendere il sopravvento - reimpostare le password e bloccarti fuori dagli account il più velocemente possibile . In genere, ci vogliono circa 1 ora per capire che sono stati violati. Ma, anche se notate in 15 minuti, è molto probabile che abbiate già perso il controllo degli account principali, e ci vorrà del tempo per rientrare. Durante quel periodo, i cattivi attori girano intorno alle vostre informazioni personali che raccolgono dati e pianificando la prossima mossa, che include ti blocca ulteriormente.

Per il strong, fuori banda 2FA, molto poco supera la sicurezza delle password monouso basate sul tempo, che l'autenticazione di Google utilizza Yubikey.

Ci sono un certo numero di librerie che puoi usare per generare le chiavi 2FA. Ecco alcuni esempi:

  • PHP: link
  • Python: link
  • JavaScript: link ( attenzione qui. Sono titubante nell'usare il codice lato client fai questa autenticazione. Il lato server è il migliore.

Sono un po 'preoccupato OWASP non ha aggiornato il proprio elenco alla luce sia delle raccomandazioni del NIST che della violazione di Equifax, che mette a rischio le domande di sicurezza delle persone. Forse hanno le loro ragioni. Speculando su quali siano queste ragioni, potrebbe essere che le domande di sicurezza non devono essere risposte in modo veritiero. Esempio: alla domanda: "In che strada sei cresciuto?" In genere rispondo con un GUID. Questo, ovviamente, richiede l'uso di un gestore di password come LastPass e / o KeePass per tenere traccia. Ma la sicurezza richiede uno sforzo. Inoltre, i social media sono una miniera d'oro di domande e risposte sulla sicurezza. Quindi, forse i consigli non hanno bisogno di cambiare ... ancora.

    
risposta data 18.09.2017 - 17:33
fonte

Leggi altre domande sui tag

più elenchi di dadi per creare passphrase memorabili? Wireshark non può decodificare il traffico LAN WPA2