¿Debería considerarse 2FA a través de SMS como inseguro después de los recientes ataques de SS7?

5

Los fallos de diseño relacionados con SS7 nos son conocidos desde hace bastante tiempo, pero las empresas de telecomunicaciones han descartado convenientemente los argumentos diciendo que el riesgo es demasiado bajo debido a las importantes inversiones requeridas para realizar el ataque. Pero teniendo en cuenta las noticias recientes de que los piratas informáticos han realizado un ataque SS7 en el mundo real para eludir 2FA y desviar fondos, está bastante claro que el retorno de la inversión en estos ataques cubrirá los costos.

¿Deberíamos nosotros, como desarrolladores de aplicaciones y evaluadores de lápiz, considerar 2FA basado en SMS como una debilidad?

    
pregunta hax 04.05.2017 - 16:31
fuente

1 respuesta

3

El borrador más reciente de las Pautas de identidad digital de NIST desaprueba el uso de Two Factor Autenticación a través de SMS.

Recomendaría utilizar Google Authenticator (o una tecnología similar) para facilitar el avance de 2FA y abandonar la verificación fuera de banda basada en SMS.

    
respondido por el DKNUCKLES 04.05.2017 - 18:02
fuente

Lea otras preguntas en las etiquetas