¿Duo MFA es vulnerable a una explotación de intercambio de SIM?

3

Estoy buscando opciones de MFA para un grupo de alrededor de 1000 personas. Duo es intrigante, pero no estoy seguro de estar cómodo implementando algo que incorpore mensajes de texto (en contraste con algo como WiKID que solo tiene una aplicación con código de acceso + OTP).

¿Alguien sabe cómo Duo ha diseñado su plataforma para mitigar los ataques de intercambio de SIM? El mecanismo de autenticación integrado en la aplicación en sí podría ciertamente endurecerse, pero parece haber una buena cantidad de cosas de SMS "alternativas" que continúan con esto.

    
pregunta Server Fault 08.11.2018 - 15:45
fuente

1 respuesta

1

Con Duo, se puede deshabilitar la opción de recuperación de SMS en el panel de administración (esto es de acuerdo con la documentación que no he probado para confirmar que realmente la deshabilitan). Si la opción de inserción es una opción, la recomiendo (solo asegúrate de capacitar a los usuarios para obtener notificaciones de inserción doble y cómo esto puede ser un signo de actividad nefasta). Documentación a continuación.

enlace

    
respondido por el DarkMatter 08.11.2018 - 17:08
fuente

Lea otras preguntas en las etiquetas