Autenticazione basata su SMS, gestione dei numeri di telefono riciclati?

1

Se un sito richiede l'autenticazione con solo un numero di telefono e un codice di accesso unico, quali protezioni possono essere messe in atto in modo tale che quando cambio il mio numero di telefono e la compagnia telefonica la ricicli, che la persona che ha il mio il vecchio numero di telefono non accede accidentalmente o intenzionalmente al mio account su quel sito?

Per chiarire, la schermata di accesso per questo sito dice "inserisci il tuo numero di telefono", quando lo fai ti manda un messaggio di testo con un codice, lo schermo dice "inserisci il codice di sicurezza". Dopo averlo fatto correttamente, ora sei considerato autenticato.

Non sono sicuro di come impedire che un numero di telefono riciclato ottenga l'accesso indesiderato a un account.

Si presume che la persona che possiede effettivamente l'account lo abbia lasciato senza disattivarlo o modificare il proprio numero di telefono. Ciò presuppone anche che il traffico giornaliero per il sito sia compreso tra decine di migliaia.

    
posta tt9 16.05.2017 - 00:24
fonte

2 risposte

2

L'autenticazione SMS funziona bene come parte di uno schema di autenticazione a 2 fattori, da solo? Non così tanto.

Se il numero di telefono e il valore del codice inviato negli SMS sono le uniche cose necessarie per effettuare il login, questo è vulnerabile non solo ai numeri riciclati ma a chiunque conosca il numero e possa leggere gli SMS inviati.

Dato che chiedevi specificamente dei numeri riciclati, in realtà l'unico modo per difendersi da questo modello di minaccia è che l'utente si assicuri di disattivare il collegamento tra l'account e il numero telefonico per l'operatore del sito per utilizzare un servizio che fornisce informazioni sulla disattivazione del numero di telefono come ID telefono:

link

Questo utilizza i dati dei fornitori di servizi di telecomunicazione per indicare quando un numero è stato disattivato o cambiato mani ecc.

    
risposta data 16.05.2017 - 12:49
fonte
2

Non esistono guardie sicure contro lo scenario che descrivi. Semplicemente non è possibile a meno che non si modifichi intenzionalmente tutte le informazioni allegate quando si passa a cambiare numeri, il che è fattibile solo su determinati sistemi poiché potrebbero essere necessari entrambi i numeri per eseguire la modifica della 2FA se è obbligatoria. Altri sistemi ti consentono di disattivare 2FA, puoi quindi disattivarlo e modificare il numero e riattivarlo con il nuovo numero.

Raccomando di utilizzare un provider VOIP per fornirti un numero di telefono (Google Voice è gratuito) e utilizzare quel numero come numero di telefono 2FA. Quindi dovresti inoltrare tutto al tuo attuale numero di cellula fisica. Quando si ottiene un nuovo numero, basta cambiare il punto in cui inoltrare se si tratta di un problema serio. Tuttavia, devo sottolineare che SMS NON è un canale sicuro per l'autenticazione a 2 fattori per vari motivi, specialmente utilizzando un provider VOIP poiché è solo un'altra posizione per cui i dati SMS sono accessibili e non dovrebbe essere usato dove possibile. p>     

risposta data 16.05.2017 - 13:40
fonte

Leggi altre domande sui tag