¿Puede ser segura la autenticación solo por SMS?

5

muchas aplicaciones móviles de Android (por ejemplo, Whatsapp, Telegram), cuando se utilizan por primera vez en un dispositivo, "autentican" a los usuarios enviándoles un código secreto en un mensaje SMS.

El mismo mecanismo se usa para permitir que los usuarios vuelvan a iniciar sesión en sus cuentas si cambian de dispositivo o reinstalan la aplicación (en la medida en que aún estén usando una tarjeta SIM con el número de teléfono original).

Supongo que este mecanismo se utiliza para permitir una autenticación sin contraseña "fácil de usar".

Me preguntaba hasta qué punto este mecanismo puede considerarse "seguro".

En particular, una aplicación maliciosa instalada en el dispositivo de la víctima puede fácilmente:

  • comuníquese con el backend de la aplicación y solicite iniciar sesión en una cuenta creada anteriormente
  • recibe los sms de autenticación y lee su contenido
  • use el código recibido para (silenciosamente) iniciar sesión en la cuenta de la víctima

¿Hay alguna forma de defenderse de este tipo de ataques?

    
pregunta user45614 01.02.2015 - 23:00
fuente

1 respuesta

4

Por lo general, es un error pensar que la seguridad es o no lo es. Realmente necesitas hacer una evaluación de riesgo básica. Como comparación, haga la pregunta "¿Está segura mi casa?" La respuesta a esta pregunta no es sí o no. Realmente depende de factores como la ubicación de su casa, es decir, que 30 millas de la ciudad más cercana es posiblemente más segura que en un suburbio con un alto nivel de delitos o robos. para mi casa en el país, podría tener solo cerraduras estándar, pero para mi casa en la ciudad, podría tener cerraduras de seguridad de alta calidad, alarmas, un perro guardián, etc. Si, por otro lado, colecciono valiosas obras de arte y guardo Lo tengo en mi casa de campo y solo uso la manguera de mi ciudad como dispositivo de protección cuando estoy en la ciudad, puedo invertir en alarmas y perros para mi casa de campo y no preocuparme realmente por la manguera de la ciudad, ya que no hay mucho valor allí, e incluso si alguien se rompe, probablemente no tendrá mucho impacto para mí.

el otro punto a considerar es que si alguien realmente quiere irrumpir en mi casa, probablemente no podré detenerlo. Todo lo que realmente puedo hacer es hacer que el costo de ingresar al ladrón sea más alto que la recompensa / valor que obtendrán.

Las mismas ideas se aplican con respecto al uso de SMS para verificación, etc. Hay numerosos informes de personas que han pirateado su cuenta de correo de Google a pesar de usar la verificación de dos pasos de Google (que incluye un código SMS). Consulte, por ejemplo, enlace Además del riesgo de un malicioso La aplicación en su teléfono roba esa información (hay numerosos informes de malware bancario que hace esto), también existe el riesgo de que alguien piratee su proveedor de servicios y redirija su número a su teléfono. Esta es la razón por la cual la mayoría de los mejores sistemas no dependen solo del SMS. A menudo, el SMS es solo un bit de información que se requiere para obtener acceso.

Sin embargo, al igual que el ejemplo de la casa, si es seguro realmente depende de la evaluación de los riesgos. Por ejemplo, uso una aplicación que registra elementos pendientes, marcadores y otras notas. Utiliza SMS como una forma de recuperar mi cuenta si olvido mi contraseña o cada vez que accedo desde un nuevo dispositivo. ¿Es esto seguro? Para mí, es lo suficientemente seguro. Si alguien redireccionara mi teléfono y obtuviera mi código SMS y accediera al sitio, ¿y qué? Obtienen acceso a mi lista de tareas y mensajes SMS. Lo más probable es que solo sea un inconveniente. Sin embargo, si mi banco solo usara un código SMS para autenticarme, probablemente cambiaría de banco porque esto representaría un riesgo mucho mayor.

Por lo tanto, en general, los SMS por sí solos como una forma de autenticación no son muy buenos, pero pueden ser suficientes para algunas cosas y definitivamente no son suficientes para otras. Si solo es parte del proceso de autenticación y requiere información adicional, probablemente sea mejor, pero para algunas aplicaciones, puede ser un poco excesivo. Esencialmente, debe evaluar su uso en contexto y desconfiar de las afirmaciones generalizadas que dicen que está o no es seguro.

    
respondido por el Tim X 06.02.2015 - 00:59
fuente

Lea otras preguntas en las etiquetas