Sono l'amministratore delegato di TextPower e volevo rispondere direttamente alla tua domanda. Grazie per aver dedicato del tempo a mettere insieme una domanda ponderata.
Penso che tu debba fare un passo indietro e guardare l'immagine più grande qui. Il prodotto 2FA di TextPower TextKey funziona sulla base del fatto che è necessario possedere il possesso fisico del telefono, inclusa la scheda SIM al suo interno per l'autenticazione corretta. Se possiedi fisicamente più di un telefono, puoi utilizzare uno qualsiasi di questi, ma solo quello registrato con TextPower può essere utilizzato per l'autenticazione tramite TextKey 2FA. Se si dispone di un telefono con una scheda SIM sostituibile (telefoni GSM standard come quelli trovati su AT & T o T-Mobile) è possibile spostare tale scheda SIM su più dispositivi dotati di schede SIM sostituibili. Questo perché sei in possesso fisico della scheda SIM che trasporta l'UDID che il telefono utilizza per comunicare con la rete. Si noti che il numero di telefono NON appare sulla carta SIM. Solo l'UDID identifica il telefono fisico. L'UDID è un numero univoco davvero lungo ed è ciò che l'operatore vede quando una chiamata o un SMS passa attraverso il loro sistema - non "vedono" il numero di telefono.
Quindi, potresti clonare una SIM da un telefono e poi usarla? In teoria, sì, ma in pratica è estremamente difficile da fare e altamente poco pratico (e improbabile) dal punto di vista dell'hacking. Perché? Perché per clonare una SIM dovresti rubare il telefono a qualcuno, rimuovere la scheda SIM e poi avere accesso a un masterizzatore che potrebbe creare una scheda SIM. Dovresti avere una scorta di carte SIM vuote. Nel momento in cui l'hai fatto, probabilmente il proprietario avrebbe denunciato il furto del telefono e il suo corriere avrebbe invalidato l'UDID rendendo inutile la tua carta SIM rubata, tranne che per fornire un modo meraviglioso per la polizia di rintracciarti e arrestarti. (Il numero di criminali arrestati in questo modo è ora relativamente grande.) Il proprietario del telefono / scheda SIM rubati potrebbe anche fermarti semplicemente annullando la registrazione del proprio telefono con TextPower.
Inoltre potresti pensare di poter rubare la SIM card di qualcuno, clonarla e sostituirla nel dispositivo originale senza che ne sia a conoscenza il proprietario. Sfortunatamente ciò che accade in questo caso è che oltre a tutti i problemi elencati nel paragrafo precedente, avrai creato un paio di altri problemi. (Ovviamente prima devi riuscire a rubare il dispositivo, clonare la scheda SIM e sostituirla senza le conoscenze del proprietario - non è un compito facile - ma lo lasciamo andare per ora.) Il problema aggiuntivo che hai creato in questo la situazione è che se il dispositivo originale che sei riuscito a rubare e tornare è stato acceso quando hai acceso il tuo dispositivo con la scheda SIM rubata / clonata, fallirebbe la registrazione di rete a causa del duplicato UDID (sì, i gestori guardano questa roba - < em> molto strettamente). Se il dispositivo rubato è stato acceso per primo, il vero proprietario della scheda SIM non è riuscito a registrare il proprio dispositivo. Probabilmente segnalerebbero questo rapidamente al loro corriere che scoprirà l'UDID duplicato e quindi lo invaliderà.
TextKey è assolutamente intrattabile? Di certo non lo diremmo. Come ogni schema di autenticazione, ci sono modi teorici per romperlo. In pratica, tuttavia, i modi per romperlo sono fuori dalla portata di chiunque abbia meno di enormi risorse e il
disponibilità a utilizzare furti significativi e ad assumere rischi considerevoli. Ecco perché, sebbene non promuoviamo TextKey come "non hackerabile", riteniamo che sia più sicuro degli altri metodi 2FA, in particolare quelli che utilizzano un SMS con terminale mobile in cui viene inviato un codice al telefono, aprendo così il processo di autenticazione a un attacco del browser MITM / MITB sul sito Web in questione.
Spero che questo risponda chiaramente alla tua domanda. Sono felice di rispondere ad eventuali domande o dubbi più dettagliati che potresti avere e apprezzare sinceramente il tuo interesse.