Domanda:
Quanto è difficile intercettare gli SMS (autenticazione a due fattori)?
Paul Podlipensky
2012-02-08 08:41:57 UTC
view on stackexchange narkive permalink

Molti meccanismi di autenticazione a due fattori utilizzano gli SMS per fornire all'utente una passphrase monouso. Quindi quanto è sicuro? È difficile intercettare il messaggio SMS contenente la passphrase? Le reti mobili utilizzano alcun tipo di crittografia sugli SMS?

Ho trovato un articolo interessante sull'autenticazione a due fattori e sui modi in cui potrebbe essere attaccata.

Stai parlando di * autenticazione in due passaggi *, non in due * fattori *. Gli SMS non possono essere un valido fattore di autenticazione "qualcosa che hai", per diversi motivi, ma è una buona soluzione fuori banda e migliora la sicurezza in alcuni scenari.
È interessante notare che ogni anno negli ultimi 3 anni ho incontrato diverse persone alle conferenze sulla sicurezza che mi hanno detto di avere o conoscere persone che hanno "telefoni neri" che possono utilizzare reti più o meno arbitrarie senza registrazione o rilevamento.Anche se questo è puramente aneddotico, la ripetizione e la popolarità dell'affermazione suggeriscono che potrebbe esserci del vero.Immagino che per quanto sicuri siano gli algoritmi in teoria, teoria e pratica sono spesso amaramente separate.
Otto risposte:
#1
+109
Thomas Pornin
2012-02-08 19:13:50 UTC
view on stackexchange narkive permalink

GSM include una certa protezione tramite crittografia. Il telefono cellulare e il provider (ovvero la stazione base che fa parte della rete del provider) si autenticano a vicenda relativamente a un segreto condiviso, che è noto al provider e memorizzato nella scheda SIM dell'utente. Alcuni algoritmi noti con i nomi in codice "A3" e "A8" sono coinvolti nell'autenticazione. Quindi i dati (come inviati tramite il collegamento radio) vengono crittografati con un algoritmo chiamato "A5" e una chiave derivata da A3 / A8 e il segreto condiviso.

Esistono diversi algoritmi effettivi che si nascondono sotto il nome "A5". Quale algoritmo viene utilizzato dipende dal provider, che a sua volta è vincolato dalle normative locali e da cosa può concedere in licenza dal consorzio GSM. Inoltre, un utente malintenzionato attivo (con una falsa stazione base) può potenzialmente costringere un telefono cellulare a utilizzare un'altra variante, diversa da quella che avrebbe utilizzato altrimenti, e non ci sono molti telefoni che avviserebbero l'utente in merito (e anche meno utenti chi se ne frega).

  • A5 / 0 significa "nessuna crittografia". I dati vengono inviati non crittografati. In alcuni paesi, questa è l'unica modalità consentita (penso che l'India sia un paese del genere).
  • A5 / 1 è il vecchio algoritmo "forte", utilizzato in Europa e nel Nord America.
  • A5 / 2 è il vecchio algoritmo "debole", inteso nominalmente per "quei paesi che sono buoni amici ma di cui non ci fidiamo completamente" (non lo è spiegato in questo modo nelle specifiche GSM, ma questa è l'idea).
  • A5 / 3 è l'algoritmo più recente per GPRS / UMTS.

A5 / 3 è un codice a blocchi noto anche come KASUMI. Offre una sicurezza decente. Ha alcuni difetti che lo renderebbero "accademicamente rotto", ma nessuno realmente applicabile nella pratica.

A5 / 2 è effettivamente debole, come descritto in questo rapporto. L'attacco richiede una frazione di secondo, soggetto a un precalcolo che richiede meno di un'ora su PC e richiede pochi gigabyte di memoria (non molto). Ci sono dettagli tecnici, principalmente perché il protocollo GSM stesso è complesso, ma si può presumere che lo strato A5 / 2 sia fragile.

A5 / 1 è più forte, ma non molto forte. Utilizza una chiave a 64 bit, ma la struttura dell'algoritmo è più debole e consente un attacco con complessità sulle 242.7 operazioni elementari (vedi questo articolo che ho scritto 12 anni fa). Ci sono state diverse pubblicazioni che girano intorno a questa complessità, principalmente eseguendo precomputazioni e aspettando che lo stato interno dell'algoritmo raggiunga una struttura specifica; sebbene tali pubblicazioni pubblicizzino cifre di complessità leggermente inferiori (intorno a 240 ), hanno svantaggi che le rendono difficili da applicare, come la richiesta di migliaia di bit di testo in chiaro conosciuti. Con solo 64 bit di testo in chiaro conosciuti, la complessità grezza è 242.7 . Non ho provato a implementarlo per un decennio, quindi è concepibile che un PC moderno lo faccia funzionare più velocemente della workstation che stavo usando in quel momento; come stima approssimativa, un PC quad core con codice completamente ottimizzato dovrebbe essere in grado di decifrarlo in un'ora.

La dimensione dello stato interno di A5 / 1 e il modo in cui A5 / 1 viene applicato per crittografare i dati, lo rendono inoltre vulnerabile ai compromessi della memoria temporale, come le tabelle arcobaleno. Di nuovo, vedi l'articolo di Barkan-Biham-Keller. Ciò presuppone che l'aggressore abbia eseguito una volta un calcolo veramente massiccio e abbia memorizzato terabyte di dati; in seguito, la fase online dell'attacco può essere abbastanza veloce. Dettagli molto un po ', a seconda di quanto spazio di archiviazione hai, quanta potenza della CPU è disponibile per la fase online e quanto tempo sei pronto ad aspettare il risultato. La fase di calcolo iniziale è enorme ma tecnologicamente fattibile (mille PC dovrebbero essere sufficienti); c'era un progetto distribuito aperto per quello ma non so fino a che punto si siano spinti.

L ' intercettazione degli SMS è ancora uno scenario specifico. Non è una conversazione vocale completa; la quantità effettiva di dati scambiati è piccola e la connessione termina dopo un tempo piuttosto breve. Ciò potrebbe limitare l'applicabilità degli attacchi sopra esposti. Inoltre, l'attacco deve essere veloce: lo scopo dell'attacco è quello di afferrare la password segreta inviata come SMS, in modo che l'attaccante possa usarla prima del normale utente. L'attaccante deve essere veloce:

  • Il server in genere applica un breve timeout a quella password, ad esempio alcuni minuti. La trasmissione di SMS dovrebbe essere questione di pochi secondi.
  • L'utente non è paziente (gli utenti non lo sono mai). Se non riceve il suo SMS entro cinque minuti, probabilmente ne richiederà uno nuovo e un sistema di autenticazione a due fattori ben congegnato sul server invaliderebbe la precedente password monouso.

Le cose sono più facili per l'attaccante se ha già infranto il primo fattore di autenticazione (ecco perché usiamo l'autenticazione a due fattori: perché uno non è sufficiente). In tal caso, l'attaccante può avviare la richiesta di autenticazione mentre l'utente di destinazione ne è beatamente inconsapevole e quindi è improbabile che generi alcun allarme se non riesce a ricevere un SMS o, contemporaneamente, se riceve un SMS non desiderato fare l'attacco a tarda notte; l'utente attaccato troverà l'SMS ingiustificato solo al mattino, quando si sveglia, concedendo qualche ora all'aggressore per mettere in atto le sue malefatte).

Crittografia GSM è solo per il collegamento radio. In tutto quanto sopra, ci siamo concentrati su un utente malintenzionato che intercetta i dati inviati tra il telefono cellulare e la stazione base. L'apparecchiatura radio necessaria sembra essere disponibile pronta all'uso ed è facilmente concepibile che questo scenario sia applicabile nella pratica. Tuttavia, l'SMS non viaggia solo dalla stazione base al telefono cellulare. Il suo viaggio completo inizia presso le strutture del server, quindi passa attraverso Internet, quindi la rete del provider, fino a raggiungere la stazione base e solo a quel punto viene crittografato con qualsiasi variante A5 utilizzata.

Il modo in cui i dati vengono protetti all'interno della rete del provider e tra il provider e il server che desidera che venga inviato l'SMS non rientra nell'ambito della specifica GSM. Quindi va bene tutto. Ad ogni modo, se l'attaccante è il provider, perdi. Le forze dell'ordine, quando vogliono origliare le persone, in genere lo fanno chiedendo gentilmente ai fornitori, che invariabilmente rispettano. Questo è il motivo per cui i cartelli della droga, specialmente in Messico e Colombia, tendono a costruire le proprie reti cellulari.

Quindi, in sintesi, questo è possibile e inoltre c'è un'apparecchiatura che intercetterà e decifrerà, giusto? Ma l'hacker dovrebbe trovarsi vicino alla vittima? In tal caso, solo gli hacker locali potrebbero eseguire l'attacco, il che rende meno possibile che accada ...
E un altro buon punto: è meglio spegnere il telefono mentre dormi;)
Vedere [articolo di wikipedia] (http://en.wikipedia.org/wiki/A5/1#Attacks_on_A5.2F1_as_used_in_GSM). L'attacco può essere completato in pochi secondi. Per favore, modifica la tua risposta se è vera
@PaulPodlipensky a meno che tu non voglia che le persone possano contattarti in caso di emergenza.
Inoltre, in sintesi, sembra che gli SMS siano un mezzo ragionevolmente sicuro per trasmettere segreti di breve durata, ad es. per l'autenticazione a due fattori. Un utente malintenzionato deve conoscere la posizione fisica del tuo (telefono), sapere quando è probabile che tu riceva un segreto, possedere e sapere come utilizzare quelle che sono apparecchiature radio molto probabilmente piuttosto costose e aver completato un progetto abbastanza complesso per eseguire "un vero calcolo massiccio "(correttamente). Quasi certamente gli attacchi sarebbero stati effettuati solo contro obiettivi di valore molto elevato.
Un attacco funzionante visto di recente consiste nell'inviare una nuova SIM all'attaccante per il numero che vuole intercettare.C'è solo il tempo che intercorre tra l'alimentazione della nuova SIM e l'obiettivo che rileva la perdita del servizio e riesce a convincere il provider che non è un difetto tecnico.Ma di solito sono ore.
E per quanto riguarda UMTS (3G) e LTE (4G)?
Possiamo presumere che nella maggior parte dei casi il passaggio completato su Internet, se protetto, sia protetto in modo simmetrico?Immagino che ciò renderebbe più facile la decrittografia al volo per le forze dell'ordine (perché forse vedo ingenuamente la crittografia simmetrica come più semplice)?
@Tomer È possibile forzare un downgrade GSM agendo come una stazione base MitM.Almeno, questo è quello che mi è stato insegnato a scuola nel 2016.
#2
+14
Yoav Aner
2012-02-08 14:59:59 UTC
view on stackexchange narkive permalink

La rete GSM è crittografata. Ma questo ovviamente non lo rende a prova di proiettile. Può essere compromesso. Tuttavia, gli attacchi descritti da Rook (e più avanti in modo molto più dettagliato Thomas Pornin) sono molto localizzati e richiedono uno sforzo significativo per essere eseguiti. Non sono impossibili, ma molto difficili. Richiede l'interruzione della rete GSM in prossimità del telefono cellulare contemporaneamente all'invio dell'SMS. C'è anche la possibilità che qualcuno dell'operatore di rete intercetti gli SMS. Se parliamo di scenari di sicurezza nazionale / spionaggio, in cui una persona specifica viene presa di mira e gli aggressori hanno mezzi molto sofisticati e molti soldi da spendere, allora è sicuramente possibile. Più o meno lo stesso vale per ottenere i valori iniziali dal tuo provider di token hardware.

Anche se questo attacco SMS ha successo, potrebbe anche richiedere l'ottenimento del nome utente e della password (supponendo che SMS non sia autenticazione, ma piuttosto un secondo componente). Esistono altre alternative, in cui l'utente avvia il messaggio SMS al server e il server può verificare che corrisponda al challenge / token richiesto. Il server può anche verificare l'ID chiamante del mittente. Ovviamente anche questo ha i suoi limiti, ma se fatto bene può fornire teoricamente un po 'più di protezione.

Se, come nella maggior parte dei casi, l'idea è di migliorare la sicurezza offrendo l'autenticazione a 2 fattori, aggiungere SMS nel mix lo migliora notevolmente rispetto al nome utente / password standard. Il fatto che utilizzi due canali di comunicazione separati (TCP / IP e GSM) lo rende già più sicuro. Come stima personale molto approssimativa, direi che i token SMS sono più o meno alla pari con i token basati su hardware, dal punto di vista della sicurezza. Ovviamente dio (o il diavolo) è nei dettagli.

In che modo la verifica dell'ID chiamante del mittente fornisce in teoria una protezione leggermente maggiore?Qual è il confronto teorico qui e come nasce questo vantaggio?
#3
+10
nowen
2012-02-08 22:26:56 UTC
view on stackexchange narkive permalink

Sebbene le discussioni sulla crittografia siano interessanti, penso che la domanda chiave sia: i vettori sono incentivati ​​a preoccuparsi della sicurezza? Temo che la risposta sia "no". Qual è il loro incentivo a spendere soldi per proteggere i loro sistemi SMS? Li gestiscono anche o è in outsourcing? Quali garanzie di sicurezza offrono? Quanto ti fidi delle persone che amministrano i server?

Inoltre, questo su questo: se hai 100 milioni di clienti e rendi leggermente più difficile reimpostare la password, le chiamate all'helpdesk andrebbero alle stelle. Questo è il motivo per cui può essere così facile assumere il controllo dell'account di qualcuno.

Inoltre, proprio come si vede con il framework dell'autorità di certificazione, l'infrastruttura SMS sarà un bersaglio per gli attacchi.

Di recente ho scritto un post sul blog sul riepilogo di questi punti con i link: http://www.wikidsystems.com/WiKIDBlog/fraudsters-defeat-poor-risk-management-not-two-factor -autenticazione. Dal punto di vista della gestione del rischio, l'autenticazione tramite SMS è migliore delle password, ma non contarci a lungo. Gli attacchi attuali prendono di mira le istituzioni finanziarie, ma man mano che il costo degli attacchi diminuisce, ce ne saranno di più.

#4
+9
sleske
2015-04-14 21:04:32 UTC
view on stackexchange narkive permalink

Le altre risposte spiegano già la sicurezza del GSM e le tecnologie coinvolte contro gli attacchi tecnici.

Tuttavia, ci sono una serie di altri attacchi che aggirano le protezioni tecniche.

L'articolo di Wikipedia in tedesco sui numeri di autenticazione delle transazioni (spesso inviati tramite SMS) elenca alcuni attacchi:

  • furto o accesso furtivo al telefono cellulare della vittima
  • installazione di malware sul telefono cellulare, in particolare se si tratta di uno smartphone
  • attacchi interni al provider di servizi mobili
  • utilizzando l'ingegneria sociale per aggirare il sistema, ad esempio:
    • ottenere l'accesso ai messaggi
    • ottenere una nuova scheda SIM dal fornitore di servizi
    • trasferire il numero di telefono a un account diverso ( SIM swap scam)

Ad esempio, nel 2015 si è verificata una serie di trasferimenti di denaro fraudolenti in Germania, dove i truffatori hanno ottenuto una nuova carta SIM a nome del cliente. Attacchi simili erano già accaduti in precedenza, quindi i fornitori di telefonia mobile avevano migliorato l'autenticazione dei clienti che ordinano nuove schede SIM. Per aggirare questo problema, quando hanno chiamato il provider di telefonia, i truffatori hanno impersonato i dipendenti di un negozio di telefoni cellulari e hanno affermato di attivare le SIM per conto dei clienti (Fonte [tedesco]: Online-Banking: Neue Angriffe auf die mTAN).

Ovviamente tutte le protezioni tecniche sono inutili se l'attaccante riesce ad aggirarle.

Infatti.La frode si chiama "scambio di SIM" e ha una propria voce su Wikipedia: https://en.wikipedia.org/wiki/SIM_swap_scam
Grazie @Fax:, modificato in risposta.
#5
+7
rook
2012-02-08 12:47:57 UTC
view on stackexchange narkive permalink

Un sistema di sicurezza a più fattori è inutile se il servizio presenta vulnerabilità comuni come XSS, SQL Injection o protezione del livello di trasporto insufficiente. Questi difetti possono portare alla compromissione di un account o di informazioni indipendentemente dal sistema di autenticazione che utilizzi.

Detto questo, se sei fisicamente vicino alla vittima puoi eseguire attacchi molto sgradevoli. Ad esempio, se la tua vittima utilizza un gestore GSM, un aggressore può interrompere il GSM con una tabella arcobaleno e intercettare il messaggio SMS. Se controlli la rete della tua vittima, potresti utilizzare uno strumento come SSLStrip o SSLSniff per attaccare il portale di accesso HTTP.

"Ricordami" è male . Alcune implementazioni dell'autenticazione multi-fattore tramite SMS (come quella di Google) consentono di benedire un dispositivo per 30 giorni. Questo è solo un cookie persistente che funziona come token di autenticazione per 30 giorni. Se sei il proprietario della macchina della vittima, puoi ottenere questo cookie e utilizzarlo per l'autenticazione. Non c'è modo di implementare una funzione "Ricordami" in modo sicuro.

I token crittografici basati su hardware sono molto più difficili da compromettere. Questo è davvero il passo avanti rispetto agli SMS, in quanto questo è un segno che hai e dovrebbe essere difficile scendere a compromessi. Questo è vero per la maggior parte, a meno che, ovviamente, non utilizzi i token hardware di RSA.

#6
+3
AdnanG
2013-08-28 09:40:36 UTC
view on stackexchange narkive permalink

Ultimamente, molte app per telefoni cellulari richiedono l'accesso ai messaggi SMS e gli utenti lo consentono perché sono interessati all'app. Ciò rende l'attacco meno difficile rispetto all'intercettazione degli SMS su reti mobili.

questo è abbastanza bloccato a partire dal 2018, supponendo che l'utente abbia un moderno dispositivo smartphone.
#7
+2
Iszi
2012-02-08 10:55:05 UTC
view on stackexchange narkive permalink

So che questo non risponde direttamente alla tua domanda, ma spero che risolva alcune preoccupazioni:

Se l'implementazione è eseguita correttamente, non sarei molto preoccupato per l'intercettazione degli SMS. Questo perché gli autenticatori SMS monouso offrono una grande opportunità per avvisi in tempo reale di potenziali attacchi. Se l'autenticatore viene intercettato, è molto probabile che te ne accorgerai immediatamente e sarai in grado di reagire rapidamente.

Se l'SMS viene intercettato durante una sessione di autenticazione che hai tentato per iniziare, dovrebbe accadere una delle due cose:

  • Se ti autentichi prima con successo, il tentativo dell'aggressore dovrebbe fallire. Questo perché il sistema dovrebbe rifiutare i tentativi di riutilizzo dell'autenticatore. In questa situazione, l'attacco è completamente sventato.

  • Se l'attaccante riesce ad autenticarsi per primo, il tuo tentativo di autenticazione dovrebbe fallire a causa del riutilizzo dell'autenticatore. Il sistema dovrebbe anche informarti che questo è il motivo del guasto. A questo punto, dovresti intraprendere tutte le azioni necessarie per proteggere nuovamente il tuo account. Essere in grado di farlo rapidamente limiterà il potenziale impatto dell'attacco.

Se l'attaccante tenta di avviare l'autenticazione mentre non lo sei, dovresti essere avvisato dal fatto che riceverai un SMS che non hai richiesto. Ci sono pochi mezzi pratici con cui qualcuno potrebbe intercettare di nascosto un SMS inviato al tuo telefono senza che anche tu lo riceva o che presto noti qualcos'altro che non va.

Tutto questo è comunque discutibile, se sei soggetto ad un attacco Man-in-the-Browser.

Inoltre, poiché la maggior parte delle implementazioni di autenticazione SMS utilizza l'autenticatore SMS come secondo fattore, sarei davvero più preoccupato di come il primo fattore di autenticazione è stato compromesso. Se non è stato fatto tramite il semplice social engineering, probabilmente è stato attraverso un browser o un exploit del sistema operativo che ha provocato un keylogger sul tuo sistema. Quindi, non siamo a pochi passi dalla situazione Man-in-the-Browser che si traduce effettivamente in una compromissione totale indipendentemente dal metodo di autenticazione.

"Ci sono pochi mezzi pratici con cui qualcuno potrebbe intercettare di nascosto un SMS inviato al tuo telefono senza che anche tu lo riceva o che presto noti qualcos'altro che non va."Consigli pericolosi: attacchi interni o attacchi di ingegneria sociale (vedere la mia risposta) possono effettivamente consentire a un utente malintenzionato di intercettare gli SMS.E una buona autenticazione a due fattori offre una certa protezione anche se il browser è completamente compromesso (ad es. [German ChipTAN] (https://en.wikipedia.org/wiki/Transaction_authentication_number#chipTAN_.2F_cardTAN)).
#8
+2
user541686
2017-01-28 18:53:01 UTC
view on stackexchange narkive permalink

Sembra che a tutti (anche Schneier?) manchi un pezzo cruciale:

Se il tuo telefono viene smarrito / rubato, stai già brindando , poiché la tua SIM it!

Mi sorprende che nessuno se ne sia accorto, per quanto ne so, ma gli SMS soffrono del fatto che non richiedono nemmeno che tu possa accedere ai dati su il tuo telefono.

Anche se la telecomunicazione era crittografata e anche se il tuo telefono è bloccato e crittografato, se hai abilitato l'autenticazione basata su chiamata o SMS e il tuo telefono viene rubato, sei completamente brindato fino al momento in cui riesci a trovare un modo per convincere il tuo provider a disattivare la tua SIM (e segnalare alle forze dell'ordine, ecc.) Un malintenzionato ha letteralmente bisogno di meno più di 1 minuto per rimuovere la scheda SIM e inserirla in un altro telefono per ricevere il messaggio di testo, quindi quando riuscirai a segnalare il problema, quasi sicuramente avrà avuto la possibilità di provarlo una dozzina di volte e poi spegnerlo il tuo telefono o semplicemente rimetterlo a posto in modo che non possa essere rintracciato.

La tua unica fortuna qui quando usi SMS 2FA è se l'aggressore non conosce il tuo nome utente , o che la tua SIM sia bloccata in modo sicuro contro l'uso in un altro telefono:

  1. Se il tuo telefono era acceso quando è stato smarrito o rubato, è probabile che sia scritto da qualche parte nella schermata di accesso o apparirà come una notifica a un certo punto.

  2. Se sei appena stato rapinato e sei riuscito a spegnere il telefono, probabilmente il tuo documento d'identità o la carta di credito è andato con il telefono, nel qual caso il tuo nome utente o indirizzo email probabilmente non è così difficile da indovinare o trovare su Google. Se il tuo telefono era acceso, anche (1) è ancora un rischio.

  3. Se l'aggressore ti conosceva in qualche modo, allora sei quasi sicuramente brindisi.
    Ad esempio, lasci il telefono sulla scrivania mentre sei fuori a pranzo e qualcuno viene a scambiare la SIM, ricevere l'SMS e scambiarla di nuovo. Ci vorrebbero solo pochi minuti se nessuno sta guardando.

Quindi, mentre puoi preoccuparti che qualcuno cerchi di intercettare la tua comunicazione con un apparato simile a Stingray o infiltrandosi nelle strutture del tuo provider telefonico, la realtà è che un uomo di mezzo non è il rischio effettivo per la maggior parte delle persone. Il rischio reale si trova all ' endpoint , ovvero tu . Se perdi il telefono, la verifica tramite chiamata e SMS sarà completamente contro di te, indipendentemente dalla sicurezza delle tue password o della crittografia.

Mi dispiace, questo non ha senso per me.La domanda riguarda _2FA_ - il "2" significa che l'SMS viene utilizzato in aggiunta a qualcos'altro, di solito nome utente + password.Quindi, mentre rubare la carta SIM è un modo per accedere al 2 ° fattore, hai ancora bisogno di nome utente + password.Quindi per me questa risposta si riduce a "Puoi intercettare un SMS ottenendo la scheda SIM di qualcuno", il che è vero ma ovvio.
E sì, la maggior parte della sicurezza viene persa se accedi e fai affari sullo stesso telefono che hai usato per ricevere l'SMS.È un dato di fatto, la maggior parte delle banche tedesche proibisce esplicitamente l'uso dell'autenticazione tramite SMS e dell'online banking su un singolo telefono: dovresti usare un computer (o un telefono diverso) per il banking effettivo, nel caso in cui il tuo telefono sia compromesso.
@sleske: Hai visto cosa fa Google quando gli dici che hai dimenticato la password?Richiede il tuo numero SMS 2FA e [** suggerisce questo **] (https://i.stack.imgur.com/4U96l.png).È di questo che sto parlando.Qualsiasi utente malintenzionato potrebbe reimpostare la tua password in questo modo.E non so perché parli di telefoni aziendali in Germania.Sto parlando di persone comuni - consumatori.E da qualche parte più tipico della Germania in termini di rigore (generalmente USA se non diversamente specificato).
@sleske: (Nota che non sto * solo * parlando di Google. Sono abbastanza sicuro di aver visto anche altre aziende fare questo. Google è solo un esempio importante qui.)
Sì, Google ti consente di recuperare il tuo account tramite SMS.Ma questo non è 2FA, perché hai solo bisogno del telefono.La domanda riguarda 2FA, che per definizione richiede _more_ di un semplice SMS.Questo è ciò che volevo sottolineare: ciò che scrivi è vero, ma _non risponde alla domanda come chiesto_.E per inciso, sono sinceramente curioso di cosa sia per te "rigore tipico" e perché la Germania non sia rappresentativa.
@sleske: Non sembra che tu abbia capito quello che ho appena scritto?La domanda era * "Molti meccanismi di autenticazione a due fattori utilizzano gli SMS per fornire all'utente una passphrase monouso. Quindi quanto è sicura?" * Ho detto che * Google utilizza ** il tuo numero di telefono 2FA SMS *** perconsente di reimpostare la password, il che significa che ** 2FA tramite SMS non è sicuro ** (di nuovo, Google non è il solo a implementare questo comportamento), che è una risposta diretta a * "Quanto è sicuro?" * L'intero * punto * èper dimostrare che l'intercettazione non è sempre il più grande rischio per la sicurezza in SMS 2FA.La domanda è pratica e così è la mia risposta.
E non capisco perché lo chiedi di nuovo.(Hai letto il mio commento?) Ho già risposto alla tua domanda: ho detto che generalmente assumiamo gli USA se non diversamente specificato.E anche se fosse la Germania, non c'è alcuna indicazione che possiamo presumere un telefono aziendale come hai fatto tu.
Ok, sembra che abbiamo capito la domanda in modo diverso - ho interpretato "2FA" in modo più restrittivo.Per quanto riguarda "generalmente assumiamo gli USA": hai qualche riferimento per questo?I siti StackExchange hanno un pubblico globale, di solito non puoi assumere una certa nazionalità.
E mi dispiace confonderti con la questione dell'online banking: il commento delle "banche tedesche" riguardava l'online banking da parte dei clienti abituali, non l'uso interno.
Un ultimo (si spera :-)) commento: per quanto posso vedere, Google _non_ ti consente di utilizzare automaticamente il tuo numero di telefono 2FA SMS per reimpostare la password.I numeri per 2FA ("Verifica in due passaggi") e "Recupero account" sono configurati separatamente.Ovviamente _puoi_ usare lo stesso numero, ma non è colpa di Google ...
@sleske: ancora: questo ** NON ** era il numero di telefono per il recupero dell'account.Questo era il numero di telefono SMS 2FA che Google ha deciso di utilizzare per il recupero dell'account.So che questo è controintuitivo, ecco perché continuo a ripeterlo a te.Provalo tu stesso prima di dirmi che ho torto.Quello screenshot era da me stesso che provavo per confermare che non ho allucinazioni prima di risponderti.


Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...