¿Autenticación basada en SMS, manejando números de teléfono reciclados?

Navega tus respuestas
1

Si un sitio requiere que se autentique con solo un número de teléfono y un código de inicio de sesión único, qué medidas de seguridad se pueden establecer de manera tal que cuando cambie mi número de teléfono y la compañía telefónica lo recicle, la persona que tiene mi ¿El número de teléfono antiguo no obtiene acceso de manera accidental o malintencionada a mi cuenta en ese sitio?

Para aclarar, la pantalla de inicio de sesión de este sitio dice "ingrese su número de teléfono", cuando lo hace, le envía un mensaje de texto con un código, luego la pantalla dice "ingrese el código de seguridad". Al hacerlo correctamente, ahora se considera autenticado.

No estoy seguro de una manera de evitar que un número de teléfono reciclado obtenga acceso no deseado a una cuenta.

Esto es asumiendo que la persona que realmente posee la cuenta la ha dejado sin desactivarla o cambiar su número de teléfono. Esto también se asume que el tráfico diario para el sitio está en el rango de decenas de miles.

    
pregunta tt9 16.05.2017 - 00:24
fuente

2 respuestas

2

¿La autenticación de SMS funciona bien como parte de un esquema de autenticación de 2 factores, por sí solo? No tanto.

Si el número de teléfono y el valor del código enviado en el SMS son las únicas cosas necesarias para iniciar sesión, esto es vulnerable no solo a los números reciclados sino a cualquier persona que conozca el número y pueda leer los SMS que se le enviaron.

Ya que estaba preguntando específicamente sobre los números reciclados, entonces las únicas formas de defenderse contra este modelo de amenaza son que el usuario se asegure de desactivar el enlace entre la cuenta y el número de teléfono del operador del sitio para utilizar un servicio. que proporciona información de desactivación del número de teléfono, como PhoneID:

enlace

Esto utiliza datos de los proveedores de telecomunicaciones para indicar cuándo un número ha sido desactivado o cambiado de manos, etc.

    
respondido por el motosubatsu 16.05.2017 - 12:49
fuente
2

No hay guardias seguros contra el escenario que describe. Simplemente no es posible a menos que cambie a propósito toda la información adjunta cuando vaya a cambiar los números, lo cual es factible solo en ciertos sistemas, ya que es posible que necesite ambos números para cambiar el 2FA si es obligatorio. Otros sistemas le permiten desactivar 2FA, luego puede desactivarlo, cambiar su número y volver a encenderlo con el nuevo número.

Recomendaría usar un proveedor de VOIP para darle un número de teléfono (Google Voice es gratis) y usar ese número como su número de teléfono 2FA. Entonces deberías tenerlo reenviado todo a tu número de celda física actual. Cuando obtenga un nuevo número, simplemente cambie a donde se reenvía si esta es una preocupación seria. Sin embargo, debo señalar que el SMS NO es un canal seguro para la autenticación de 2 factores por varias razones, especialmente al utilizar un proveedor de VOIP, ya que es solo otra ubicación más para poder acceder a los datos SMS, y no debería usarse cuando sea posible.

    
respondido por el Ryan Kelso 16.05.2017 - 13:40
fuente

Lea otras preguntas en las etiquetas

¿Cómo puede saber qué parámetros de certificado se usaron con openssl? ¿Cuál es la mejor manera de conservar datos de usuario arbitrarios de un módulo PAM? [cerrado]