Se 2FA su SMS è considerato insicuro in seguito ai recenti attacchi SS7?

6

I difetti di progettazione relativi a SS7 ci sono noti da un po 'di tempo, ma le società di telecomunicazioni hanno convenientemente scartato le argomentazioni sottolineando che il rischio è troppo basso a causa degli investimenti significativi necessari per eseguire l'attacco. Ma considerando la recente notizia che gli hacker hanno eseguito un vero attacco SS7 per bypassare 2FA e sottrarre fondi, è piuttosto chiaro che il ritorno degli investimenti in questi attacchi coprirà i costi.

Dovremmo noi, in quanto sviluppatori di applicazioni e pen-tester, considerare il 2FA basato sugli SMS come un punto debole?

    
posta hax 04.05.2017 - 16:31
fonte

1 risposta

4

La bozza più recente delle NIST Digital Identity Guidelines depreca l'utilizzo di Two Factor Autenticazione tramite SMS.

Consiglierei di utilizzare Google Authenticator (o una tecnologia simile) per facilitare il passaggio a 2FA e abbandonare gli SMS in base alla verifica della banda.

    
risposta data 04.05.2017 - 18:02
fonte

Leggi altre domande sui tag