I "codici SMS di sicurezza" sono più sicuri degli SMS semplici?

4

MolteapplicazioniwebbancarieinvianoquestotipodiSMS,perilorosistemi2FA.Questimessagginoncompaiononell'app"Messaggi" principale, apparentemente distrutti dopo la visualizzazione, almeno su iOS.

In primo luogo, questi messaggi sono più sicuri degli SMS classici (come quello che invii alla tua ragazza, chiedendo se comprare il pane)?

In secondo luogo, come vengono inviati questi messaggi? Potrebbe essere eseguito senza utilizzare Twilio o altri gateway SMS?

    
posta Perceval 10.08.2015 - 22:00
fonte

1 risposta

5

Non è un'autenticazione 2FA ma 2 fasi. Come collegati da StackzOfZtuff sono in realtà semplici messaggi SMS.

Il motivo per cui è un fattore due e non due è perché il fattore due implica che è necessario il vero possesso dell'oggetto in cui viene generato il token e ci deve essere la certezza che il token non può essere intercettato da un'altra parte. Questo è dove SMS è difettoso. SMS ha alcune vulnerabilità note che tecnicamente renderebbero possibile l'intercettazione:

  • Rete GSM compromessa
  • Attacchi di stazioni base false su versioni precedenti del protocollo GSM
  • Clonazione della scheda SIM

Detto questo, i messaggi vengono effettivamente inviati tramite gateway SMS. Quindi è in realtà un modo sconsiderato di autenticazione? Probabilmente no. Tuttavia, ciascuna banca effettua una valutazione del rischio su quale sia la probabilità che gli aggressori eseguano gli attacchi di cui sopra allo scopo di rubare i conti bancari e probabilmente si rendono conto che la probabilità sarebbe bassa. Richiederebbe un grande sforzo in caso di clonazione di SIM o falsi attacchi della stazione base rispetto al ritorno sull'investimento. Se qualcuno riesce a compromettere un gestore di telefonia cellulare completo, probabilmente ci saranno attacchi più preziosi da eseguire rispetto ai singoli clienti bancari.

Inoltre, la maggior parte delle banche richiede spesso meccanismi di conferma aggiuntivi per eseguire transazioni effettive (ma ciò dipende ovviamente dalla banca). Ad esempio, la mia banca non mi consente di inviare transazioni a conti a cui non ho mai inviato denaro in precedenza. Altrimenti devo firmare la transazione con un lettore di schede.

    
risposta data 11.08.2015 - 08:43
fonte

Leggi altre domande sui tag