Reenvío seguro de códigos 2FA SMS [cerrado]

1

¿Existen soluciones para reenviar mensajes SMS mediante los cuales:

  • el proveedor de servicios no almacena registros de mensajes
  • protección de inicio de sesión con Google Authenticator o similar
pregunta user1935987 18.01.2018 - 05:23
fuente

1 respuesta

3

En resumen, creo que es poco probable, sería una solución muy específica.

Hay numerosos servicios que admite la sincronización de mensajes de un teléfono móvil a clientes en línea, pero estos funcionan al almacenar sus mensajes en una base de datos; puede usar un teléfono móvil dedicado en algún lugar seguro con una señal móvil para recibir los mensajes.

También hay varios servicios en línea que le permiten recibir SMS a un número dedicado a través de su sitio web.

  

protección de inicio de sesión con Google Authenticator o similar.

¿Quieres dos factores para tus dos factores? : P

Creo que estás malinterpretando un par de cosas. Primero es el propósito de 2FA. En segundo lugar está la seguridad (o falta de ella) de SMS. Dos factores a través de SMS no son muy seguros: es muy fácil ver un SMS mientras está en tránsito (especialmente si está dentro del alcance de la misma torre que el usuario legítimo). Tampoco es tan difícil de clonar una SIM móvil. También debe darse cuenta de que está confiando intrínsecamente en un proveedor de servicios tal como es (su proveedor celular).

Entonces, cualquiera de las opciones anteriores simplemente agrega una parte adicional a un sistema que ya es bastante inseguro.

El propósito del factor Dos es un canal separado que un atacante debe comprometer. Para obtener una combinación de nombre de usuario / contraseña e interceptar un SMS se requieren dos conjuntos de habilidades y recursos muy diferentes. A menos que sea un objetivo de alto valor que espere ataques de recursos dedicados (en cuyo caso, francamente, no debería estar usando SMS en primer lugar), debe preguntar cuál es la probabilidad de que mis credenciales para un servicio sean violadas Y el identificador del mismo atacante Yo como uso un servicio de retransmisión de SMS / levantando el código de dos factores antes de que caduque. A menos que haya utilizado las mismas credenciales para ambos servicios, diría que son extremadamente escasas.

    
respondido por el Hector 18.01.2018 - 09:30
fuente

Lea otras preguntas en las etiquetas