La Duo MFA è vulnerabile a un exploit di scambio SIM?

3

Sto esaminando le opzioni MFA per un gruppo di circa 1000 persone. Duo è intrigante, ma non sono sicuro di essere a mio agio nell'implementare qualcosa che incorpori messaggi di testo (al contrario di qualcosa come WiKID che ha solo un'app passcode + OTP).

Qualcuno sa come Duo ha progettato la sua piattaforma per mitigare gli attacchi di scambio di SIM? Il meccanismo di autenticazione introdotto nell'applicazione stessa potrebbe certamente essere indurito, ma sembra esserci una buona quantità di roba SMS di "fallback" che si sta verificando.

    
posta Server Fault 08.11.2018 - 15:45
fonte

1 risposta

1

Con Duo si può disabilitare l'opzione di fallback SMS nel pannello di amministrazione (questo è secondo la documentazione che non ho testato per confermare che effettivamente lo disabilitano). Se push è un'opzione lo raccomando (assicurati solo di addestrare gli utenti a ricevere le doppie notifiche push e come questo possa essere un segno di attività nefande). Documentazione di seguito.

link

    
risposta data 08.11.2018 - 17:08
fonte

Leggi altre domande sui tag