Molti siti Web, incluse le banche, utilizzano i messaggi di testo come mezzo di autenticazione principale o secondario. In teoria, sembra un metodo perfetto a meno che l'utente non perda il telefono o lo infetti con un virus.
Tuttavia, ci sono attacchi noti su messaggi di testo che non si basano sull'accesso al telefono reale? È perfettamente sicuro affidarsi ai messaggi di testo come metodo di autenticazione?
A mio parere, i messaggi SMS per l'autenticazione a due fattori non sono una decisione di progettazione sicura rispetto ad altre alternative.
I messaggi SMS sono vulnerabili a una serie di scenari:
Un'alternativa che è superiore in quasi tutti i modi è TOTP , dove in pratica l'utente cripta il tempo piuttosto che il servizio dovendo inviare qualcosa all'utente. In questo modo assolutamente nessuna comunicazione deve essere fatta con il dispositivo 2FA, e può essere effettivamente utilizzata offline.
Google Authenticator è un'implementazione diffusa.
SMS non è un mezzo sicuro per l'autenticazione, ma è più sicuro di niente. Il punto di un secondo fattore è quello di richiedere più di un attaccante prima che possano ottenere l'accesso. L'idea è che, si spera, il tempo necessario per compromettere il secondo fattore acquisterà abbastanza tempo per rilevare e correggere il compromesso del primo.
Quindi, non è necessario che i messaggi SMS siano impossibili da compromettere, solo che è abbastanza difficile compromettere i messaggi SMS che è più difficile per un utente malintenzionato ottenere sia la password che gli SMS insieme. Ci sono opzioni molto migliori là fuori, come le soluzioni HOTP, ma spesso richiedono la distribuzione di dispositivi stand alone (se non si desidera lo stesso problema di malware del telefono).
La sicurezza riguarda il bilanciamento di rischio e costi. I messaggi SMS sono economici e forniscono ulteriore sicurezza, anche se non sono sicuri da soli. Sollevano leggermente il tiro quasi senza alcun costo.
Leggi altre domande sui tag authentication mobile sms