Mensaje de telegrama (u otro mensajero) como segundo factor en 2FA

Navega tus respuestas
4

¿Es seguro enviar código a través del bot de messenger y usarlo como segundo factor en la autenticación? El esquema parece el mismo que el de SMS. Un usuario abre la aplicación o mira una notificación de inserción y usa el código. ¿Por qué nadie lo usa? Es más barato y casi todo el mundo usa mensajeros.

    
pregunta PilgrimViis 07.11.2018 - 10:46
fuente

2 respuestas

2

Seguro es una elección de palabra peculiar para describir la opción de medio para un mensaje 2FA que en realidad podría describir varias cualidades desesperadas de un medio 2FA. A través de la lente de la seguridad.

2FA se usa a menudo para proporcionar autenticación basada en algo que tienes en lugar de algo que sabes . Para esto, tal vez el dispositivo definitivo sea un dispositivo de seguridad sin conexión que genere códigos basados en el tiempo con un algoritmo seguro.

SMS proporciona una propiedad similar, ya que tiende a demostrar que el usuario tiene el control de un teléfono móvil específico. Cambiar el teléfono al que se envían los mensajes SMS para un número no es sencillo y requiere cambiar físicamente una tarjeta SIM o tratar con un proveedor de telefonía. Los SMS son menos seguros en la era de los teléfonos inteligentes porque, en primer lugar, el teléfono puede estar donde la contraseña se vio comprometida, por lo que el atacante podría obtener los códigos de SMS de la misma manera.

Usar un mensaje de telegrama sería similar a enviar un correo electrónico de confirmación. Prueba que la persona tiene acceso a una cuenta, pero poco más. Siempre que el servicio tenga un MFA excelente y seguridad en general, este enfoque podría aprovechar el servicio de autenticación allí. En última instancia, si el otro servicio se basa únicamente en el nombre de usuario y la contraseña, la seguridad adicional probablemente no sea particularmente significativa.

    
respondido por el trognanders 08.11.2018 - 02:07
fuente
2

Hay un par de razones que mantienen a SMS como una opción superior y segura como medio para comunicar el código 2AF en comparación con otros sistemas de mensajería como Messenger o WhatsApp:

  • SMS es una función incorporada en los teléfonos móviles, no tiene que instalarlo y no puede desinstalarlo de forma intencional o accidental.
  • No todos los clientes tienen un teléfono inteligente, a diferencia de un simple móvil GSM.
  • Hipotéticamente, si todos los clientes tienen un teléfono inteligente, no controlas qué aplicación de mensajería tiene que instalar cada una.

Actualización:
La palabra "Seguro" aquí se señala desde una perspectiva empresarial y no implica que SMS sea más seguro.

    
respondido por el elsadek 07.11.2018 - 16:33
fuente

Lea otras preguntas en las etiquetas

¿Necesita DNSSEC si usa HSTS? [duplicar] ¿Puede un proveedor de VPN leer mis correos?