SMS OTP come 2FA - dovrebbe esserci l'id di sessione sms in sms per la verifica dell'utente?

Question

SMS OTP come 2FA - dovrebbe esserci l'id di sessione sms in sms per la verifica dell'utente?

#1 da (1 voti)

1

Diverse volte ho visto l'implementazione di SMS 2FA quando un sito web mostra "ID sessione sms" (ad esempio, token a 8 cifre) subito dopo l'invio di SMS all'utente insieme al prompt OTP. Sms viene fornito con OTP (ad esempio, 4 cifre) e l'ID di sessione sms (8 cifre). L'utente deve quindi verificare che l'id di sessione sms in sms corrisponda a una nell'interfaccia utente del sito Web e solo successivamente inserire l'OTP. Se l'ID sessione sms non corrisponde, l'utente dovrebbe fermarsi ed evitare di inserire OTP.

Ti stai chiedendo questo tipo di flusso di lavoro creato per motivi di sicurezza? E la verifica dell'id di sessione sms protegge da qualche tipo di attacco?

Un esempio di tale flusso di lavoro: webmoney.ru

authentication sms one-time-password multi-factor

posta vsespb 06.07.2018 - 18:21

fonte

1 risposta

Leggi altre domande sui tag authentication sms one-time-password multi-factor

I miei dati personali sono a rischio con i servizi di un gigante digitale globale? Memorizzazione di coppie di chiavi private / pubbliche RSA in un file, su linux

score 1 · Answer 1

La mia ipotesi sarebbe che stiano cercando di impedirti di inserire il tuo OTP su una pagina di phishing. Se questo è il caso, la loro soluzione è del tutto inefficace.

Se ti trovi su una pagina di phishing e ricevi una OTP valida, ciò significa che il phisher ha già inserito il nome utente e la password per attivare la 2FA. Possono semplicemente prendere "l'id di sessione" che viene loro inviato e inoltrarlo a te, e non sarai mai più saggio.

4 cifre è anche piuttosto breve per un OTP. 6 cifre sono comuni, 7 o 8 è meglio. Senza la limitazione o il blocco dell'account corretto, 4 cifre sono da banali a forza bruta . Anche se lo riducono a 1 tentativo ogni 5 secondi ci vorranno meno di 10 ore per avere il 50% di possibilità di indovinare un codice corretto (ovviamente si spera che il telefono scoppi con un gran numero di OTP in questo periodo e cambia la tua password, ma ancora ...). E questo non sta nemmeno considerando il fatto che SMS non è un canale sicuro.