¿Es seguro enviar contraseñas a través de mensajes de texto de teléfonos celulares?

63

Tanto el remitente como el destinatario eliminaron el texto después de que se envió, pero ¿es posible que exista en algún lugar y que alguien pueda acceder a él?

    
pregunta Rachel 12.03.2015 - 07:53
fuente

5 respuestas

106

No es absolutamente seguro. Los mensajes de texto funcionan esencialmente de la misma manera que lo hace el correo electrónico: su cliente (teléfono) lo reenvía a un servidor, que luego busca un destino que puede estar en otra red (operador) y luego lo envía al lugar donde se encuentra en un buzón hasta que el teléfono lo consigue.

En cualquier lugar del camino se puede copiar, retener más de lo esperado, etc. La interceptación legal, la intercepción ilegal, los teléfonos clonados, las cuentas de Google+, etc. son formas en que un mensaje puede terminar en algún lugar inesperado y todo lo que se asume que confía en el teléfono. y el software en él.

El texto claro es texto comprometido. Siempre.

    
respondido por el Jeff Ferland 12.03.2015 - 08:00
fuente
18

El envío de la contraseña a través de SMS / mensajes de texto fue, por lo que sé, originalmente destinado a garantizar que la contraseña se recibiera a través de un medio diferente al del archivo cifrado para el que recibía la contraseña.

Un archivo cifrado se enviaría por correo electrónico y el usuario recibiría un SMS de texto sin formato en su teléfono con una contraseña. Esto requeriría que un ladrón robe su computadora portátil (o el acceso a la bandeja de entrada del correo electrónico), así como su teléfono (o el acceso a la bandeja de entrada de sms de su teléfono) para tener tanto el archivo como la contraseña.

Actualmente, los teléfonos inteligentes a menudo también están configurados para que actúen como buzones de correo, lo que significa que, incluso si lo envía como un mensaje de texto, aún tendrá mensajes clave y cifrados en el mismo dispositivo. Si posteriormente le roban el teléfono y el correo electrónico aún reside en la bandeja de entrada que está accesible desde el dispositivo, simplemente significará que el ladrón también debe revisar sus mensajes de texto enviados aproximadamente al mismo tiempo y probablemente del mismo contacto para las contraseñas si quiere abrirlo.

Por lo tanto, aunque el envío de contraseñas de texto sin formato nunca fue seguro, en el pasado ha funcionado lo suficientemente bien para nosotros. Sin embargo, el hecho de que sigamos perpetuando este hábito ahora que muchos de nuestros teléfonos también son bandejas de entrada de correo electrónico móvil es algo peor, supongo.

    
respondido por el spoorlezer 12.03.2015 - 11:56
fuente
11

'Seguro' no es un absoluto. Es un error pensar en términos de cosas seguras o no seguras. Debe evaluar la seguridad en contexto: quiénes son los usuarios, cuál es la amenaza, cuál es el valor de lo que se está protegiendo, etc. ¿Cuáles son todos los controles implementados? ¿Es el mensaje de texto el único bit de información requerido o solo es parte de una cadena de autenticación / autorización?

Otras respuestas han resaltado que los mensajes SMS normales son muy similares al correo electrónico en el sentido de que no tiene conocimiento o control sobre a qué servidores pasa el mensaje y, por lo tanto, conocimiento sobre qué tan confiables son las empresas, los administradores de sistemas, etc. No se puede saber el nivel de supervisión gubernamental, etc.

Hay una serie de artículos de noticias recientes sobre fallas en la autenticación de dos pasos que utiliza mensajes SMS para enviar un código adicional que se debe ingresar. En realidad, esto no es, estrictamente hablando, una autenticación de dos factores, sino una autenticación de dos pasos, pero esa es otra historia.

El 'subproceso' común en estos hacks que han sido capaces de anular la autenticación en dos pasos no se trata de que el mensaje SMS sea interceptado o robado en tránsito - en realidad es mucho más sencillo y utiliza el enfoque más sencillo y de baja tecnología: ingeniería social . Básicamente, estos sistemas se han omitido simplemente contactando al proveedor de celulares destinatarios y convenciéndolos, a través de varias técnicas de ingeniería social, de que son el propietario legítimo y necesitan que se les envíe su número a un teléfono nuevo, generalmente un teléfono con grabador. Una vez hecho esto, el mensaje SMS se redirige simplemente al teléfono grabador de los malos y no importa qué tan seguro o no sea el proceso de transporte. Esta es la razón por la que, si está realmente preocupado, debe optar por una solución que no utilice SMS, prefiriendo algo como Google Authenticator que se ejecuta en su dispositivo. Como de costumbre, todo esto es un juego entre la conveniencia y el nivel de amenaza. Para muchas personas, el SMS puede ser suficiente, pero para otros que son más propensos a ser atacados, es un riesgo demasiado alto y, como lo mencionaron otros, el propósito / tipo del mensaje SMS también es relevante: una contraseña completa que proporciona toda la información. el acceso sin ninguna otra información requerida es un riesgo mucho mayor que un token de una sola vez con un tiempo de vida / uso limitado, que es solo una parte de una cadena de cosas que deben usarse para obtener acceso.

    
respondido por el Tim X 12.03.2015 - 21:48
fuente
9

Aquí hay un resumen interesante del cifrado GSM de los mensajes de texto: ¿Qué tan difícil es interceptar SMS (autenticación de dos factores)?

Por lo que entiendo, los mensajes de texto se cifran a medida que pasan por el aire. La tarjeta SIM proporciona información para cifrar el mensaje y el proveedor de la célula tiene la información necesaria para descifrarlo. (Recientemente salió a la luz que la NSA había pirateado las bases de datos del fabricante de alrededor del 90% de todas las tarjetas SIM del mundo, una compañía en los Países Bajos cuyo nombre no recuerdo, y enganchó los datos necesarios para descifrar el texto mensajes para todas las tarjetas SIM que el fabricante ha producido)

El proveedor de servicios hace lo que sea necesario para llevar el mensaje de texto a su destino previsto, y no tengo idea si eso implica cifrado o no. Es diferente al correo electrónico en que los mensajes de texto pasan a través de las redes de uno o más proveedores de servicios que se van a entregar y se cifran en sus puntos más vulnerables cuando pasa por el aire donde cualquiera podría interceptarlo.

Los mensajes de texto también son diferentes del correo electrónico, ya que no viajan a través de Internet abierto como el correo electrónico en el que cualquiera puede verlo pasar. Los proveedores de servicios y las organizaciones gubernamentales como la NSA podrían obtenerla fácilmente si tienen presencia en la red del proveedor de servicios, pero es poco probable que su actor malintencionado promedio pueda ingresar a la red del proveedor de servicios. Siempre que confíe en los proveedores de servicios (tanto el suyo como el proveedor en el destino), no tiene miedo de que las organizaciones gubernamentales tomen su contraseña, y está bastante seguro de que nadie más estará leyendo el teléfono del receptor, entonces creo que enviará un mensaje. contraseña a través de texto no es un problema. Es un mecanismo de entrega muy diferente a los correos electrónicos.

Con iMessage (la aplicación de texto estándar) en el iPhone y el iPad, los mensajes se cifran de forma segura desde el remitente hasta el destinatario. Los mensajes se cifran con la clave pública del receptor y solo se pueden descifrar con la clave privada del receptor, que solo tiene el receptor. Observaré que teóricamente es posible que iMessage también cifre con una clave pública especial a la que Apple o la NSA tengan acceso para que estos mensajes también puedan ser leídos por ellos, pero solo el titular de la clave privada podrá descifrar eso. Apple dice que no está haciendo nada como esto, así que mientras confíes en Apple, nadie podrá leer esos mensajes. La funcionalidad de encriptación de iMessage solo se usa cuando tanto el remitente como el receptor utilizan productos de Apple.

También hay productos de mensajería segura garantizados como Threema, donde el énfasis está en el cifrado que solo el receptor puede descifrar, pero en mi opinión, eso es una exageración.

Uno de los carteles anteriores es correcto, ya que la seguridad no es una pregunta de sí / no. Es un espectro desde extremadamente inseguro hasta muy seguro. La seguridad para los verdaderamente paranoicos es muy difícil, así que solo tienes que elegir algo que sea lo suficientemente bueno para ti.

    
respondido por el Kevin Peter 13.03.2015 - 17:31
fuente
1

No.

Por encima de las respuestas lo clavé. Hay formas de enviar blues a un teléfono celular si se deja el bluetooth encendido, dejando su teléfono comprometido. También hay formas de recuperar textos eliminados, fotos, datos en un teléfono celular usando FTK o cualquier herramienta forense digital decente si alguien tiene acceso físico al teléfono.

    
respondido por el dtb_pen 12.03.2015 - 20:48
fuente

Lea otras preguntas en las etiquetas