Verificación fuera de banda usando el teléfono; una falacia?

4

Hoy en día, cada vez más y más sitios web requieren que los usuarios nuevos verifiquen su "identidad" solicitando al usuario que demuestre que tiene acceso a un dispositivo identificado por un número de teléfono (generalmente un teléfono).

La razón a menudo citada para esto es bastante inespecífica: " para proteger su cuenta ".


Estoy de acuerdo en que, en caso de que el usuario esté de otra manera exclusivamente utilizando computadoras de escritorio / portátiles para interactuar con el servicio, usar un teléfono como una verificación fuera de banda de "algo que usted tiene" podría ser visto como autenticación de dos factores.

Sin embargo ... más del 50% de todo el acceso en línea ahora se realiza mediante dispositivos móviles, como los teléfonos inteligentes.

¿El uso de un dispositivo móvil, para demostrar que el usuario tiene acceso a dicho dispositivo, socava la seguridad adicional implícita?

    
pregunta Jacco 09.04.2016 - 16:30
fuente

2 respuestas

2

La verificación del teléfono / SMS funciona, solo soluciona un problema diferente al de la pérdida de su teléfono.

La verificación del teléfono evita que un atacante se haga pasar por un usuario iniciando sesión como desde algún dispositivo de red aleatorio usando su nombre de usuario y contraseña . Por ejemplo, si la contraseña de un usuario está expuesta porque reutiliza el mismo correo electrónico y la misma contraseña en varios sitios, un atacante con esa información no podrá completar un inicio de sesión debido a que no tiene su teléfono. Incluso en la terrible situación en que el sitio almacena las contraseñas de forma insegura y pierde su base de datos de contraseñas ante un atacante, la verificación por teléfono evitará la autenticación no autorizada.

La verificación del teléfono no evita la pérdida física de su teléfono o de que un atacante instale software privilegiado en su teléfono. Para eso, se requiere el cifrado del teléfono con una contraseña segura, el bloqueo de su teléfono, solo la instalación de software de confianza, etc.

Editar: Artículo interesante sobre cómo perder el control de la PC puede llevar a un bypass 2FA. Publicación: Cómo la informática en cualquier lugar acaba de matar a tu Autenticación de dos factores basada en el teléfono .

    
respondido por el Neil Smithline 09.04.2016 - 18:35
fuente
1

Puedo pensar en dos maneras en que la verificación basada en el teléfono ayuda, incluso si su dispositivo móvil es la forma en que accede a sitios web confidenciales. Ambos requieren que solo usted tenga acceso físico a su dispositivo.

  1. Si usa su teléfono para ingresar sus credenciales en un sitio web falso (por ejemplo, debido a un ataque de phishing), entonces, cuando el atacante intenta usarlos para iniciar sesión en el sitio web real que la verificación basada en el teléfono lo protegerá.
  2. Si su teléfono está infectado con malware que roba las credenciales de inicio de sesión pero el malware no es lo suficientemente inteligente como para deshabilitar la verificación basada en el teléfono, también debería estar protegido.
respondido por el Ralph P 09.04.2016 - 17:08
fuente

Lea otras preguntas en las etiquetas