Verifica fuori banda tramite telefono; un errore?

4

Oggigiorno sempre più siti Web richiedono ai nuovi utenti di verificare la loro 'identità' richiedendo all'utente di dimostrare di avere accesso a un dispositivo identificato da un numero di telefono (in genere un telefono).

Il motivo spesso citato per questo è piuttosto non specifico: " per proteggere il tuo account ".


Sono d'accordo che, nel caso in cui l'utente sia esclusivamente usando computer desktop / laptop per interagire con il servizio, usare un telefono come verifica fuori banda di "qualcosa che hai" potrebbe essere visto in modo efficace come autenticazione a due fattori.

Tuttavia ... oltre il 50% di tutti gli accessi online ora viene effettuato tramite dispositivi mobili, come gli smartphone.

L'uso di un dispositivo mobile, per dimostrare che l'utente ha accesso a detto dispositivo, compromette la sicurezza aggiunta implicita?

    
posta Jacco 09.04.2016 - 16:30
fonte

2 risposte

2

La verifica del telefono / SMS funziona, risolve solo un problema diverso dalla perdita del telefono.

La verifica telefonica impedisce a un utente malintenzionato di impersonare un utente effettuando l'accesso come da un dispositivo di rete casuale utilizzando il nome utente e la password . Ad esempio, se la password di un utente viene esposta perché riutilizzano la stessa e-mail e password su più siti, un utente malintenzionato con tali informazioni non sarà in grado di completare un accesso a causa di non avere il telefono. Anche nella terribile situazione in cui il sito memorizza le password in modo insicuro e perde il proprio database delle password su un utente malintenzionato, la verifica telefonica impedirà l'autenticazione non autorizzata.

La verifica del telefono non impedisce la perdita fisica del telefono o di un utente malintenzionato che installa software privilegiato sul telefono. Per questo, è richiesta la crittografia del telefono con una password complessa, il blocco del telefono, l'installazione di software attendibili, ecc.

Modifica: Articolo interessante su come perdere il controllo del PC può portare al bypass 2FA. Pubblicazione: Come Anywhere Computing ha appena ucciso il tuo Autenticazione a due fattori basata sul telefono .

    
risposta data 09.04.2016 - 18:35
fonte
1

Posso pensare a 2 modi in cui la verifica basata sul telefono aiuta, anche se il tuo dispositivo mobile è il modo in cui accedi ai siti Web sensibili. Entrambi richiedono solo l'accesso fisico al dispositivo.

  1. Se usi il tuo telefono per inserire le tue credenziali su un sito Web fasullo (ad esempio a causa di un attacco di phishing) poi quando l'attaccante prova a utilizzarli per accedere al sito Web reale, la verifica basata sul telefono ti proteggerà.
  2. Se il tuo telefono è stato infettato da malware che ruba le credenziali di accesso ma il malware non è abbastanza intelligente da disabilitare la verifica basata sul telefono, devi anche proteggerlo.
risposta data 09.04.2016 - 17:08
fonte

Leggi altre domande sui tag