Qual è la sicurezza del login one time con il codice SMS?

Lo spoofing degli SMS è certamente possibile. Tuttavia, lo spoofing via SMS non rende la verifica della sicurezza meno sicura. Tutto ciò che spoofing consente a un utente malintenzionato di inviare all'utente un codice diverso. Ovviamente il codice sarà errato e potrebbe confondere l'utente, ma non danneggia nulla, nel senso che un utente malintenzionato non può accedere all'account di qualcuno falsificando i testi. Quale sarebbe un problema è SMS intercettazione . Se un utente malintenzionato può intercettare il messaggio, sarà in grado di accedere all'account di qualcun altro se in qualche modo già conosce il nome utente e la password dell'account.

Gli SMS OTP non sono raccomandati. Lo spoofing non è solo un problema, ma anche il fatto che gli utenti dovranno avere la ricezione del cellulare ogni volta che vogliono accedere.

link

Is SMS spoofing very easy?

Ho parlato un po 'dello spoofing via SMS nella risposta .

Il nocciolo della questione è che le compagnie telefoniche si affidano a un sistema chiamato Signaling System 7 (SS7). È costruito sulla fiducia tra gli operatori, e questo rende facile per un operatore inviare false informazioni a un altro. Usando questo, è abbastanza facile falsificare il numero di mittenti.

Is this method vulnerable to SMS spoofing easily?

Non so se il tuo metodo è voulnerable. Ciò dipenderebbe se si utilizza il numero di mittenti come parte della verifica. Potrebbe anche essere possibile costruire uno scenario di attacco in cui un utente malintenzionato invia il codice di autenticazione prima dell'utente reale o uno scenario in cui l'utente potrebbe non desidera inviare la conferma, ma un utente malintenzionato può farlo al loro posto e usarlo per un attacco.

SMS spoofing

Sì, lo spoofing degli sms è possibile. Anche se non proprio facile (devi usare hardware specifico e sapere come funziona).

Accesso una sola volta

A seconda di come è implementato sul server, idealmente password di accesso una tantum significa una password utilizzabile una sola volta, quindi cancellata immediatamente dopo l'uso.

Poi

Se qualcuno ottiene il tuo one time pass e lo usa, tu stesso non sarai in grado di connetterti. Da lì, dovresti segnalare il problema al proprietario del sito.

Se potessi connetterti con la tua password, nessun altro potrebbe seguirti.

responsabilità

Per funzionare correttamente, il sito che utilizza questo tipo di metodo deve controllare e cancellare correttamente la password dopo il primo utilizzo.

Nuovo formulare?

Il mio scopo:

1. Personalizzato (Alice) arriva a un'iscrizione formulare sul sito di Bob's Server, per creare

   • Nome utente
   • Tutti i campi di identità richiesti
   • Un campo specifico One time password 1
   • ... reinserisci One time password 1

2. Il server di Bob crea random One time password 2 per l'invio tramite SMS al telefono di Alice

3. Alice si connette di nuovo alla verifica Una sola password , dovrà compilare correttamente 3 campi:

   • Nome utente
   • Password una sola volta 1 (di Alice)
   • One time password 2 (da SMS)

4. Se qualche terza persona (Charles) potrebbe ottenere SMS, deve sapere che cosa ha scritto Alice nel primo formulare (in HTTPS, ovviamente!)

5. Ovviamente le password una sola volta devono essere eliminate immediatamente dopo il primo utilizzo comunque.