¿Cuál es la seguridad del inicio de sesión único con código SMS?

La falsificación de SMS es ciertamente posible. Sin embargo, la falsificación de SMS no hace que su verificación de seguridad sea menos segura. Todo lo que suplantación permite es que un atacante le envíe a su usuario un código diferente. El código obviamente será incorrecto y puede confundir al usuario, pero no daña nada, en el sentido de que un atacante no puede acceder a la cuenta de alguien al falsificar textos. Lo que sería un problema es la intercepción de SMS . Si un atacante puede interceptar el mensaje, entonces podrían iniciar sesión en la cuenta de otra persona si también de alguna manera ya conocen el nombre de usuario y la contraseña de esa cuenta.

No se recomiendan las OTP de SMS. La falsificación no solo es un problema, sino también el hecho de que los usuarios necesitarán una recepción de teléfono celular cada vez que quieran iniciar sesión.

enlace

  

¿Es fácil la falsificación de SMS?

Hablé un poco sobre la falsificación de SMS en esta respuesta.

La esencia de esto es que las compañías telefónicas dependen de un sistema llamado Signaling System 7 (SS7). Se basa en la confianza entre los operadores, y esto facilita que un operador envíe información falsa a otro. Usando esto, es bastante fácil falsificar el número de remitentes.

  

¿Es este método vulnerable a la falsificación de SMS fácilmente?

No sé si tu método es voulnerable. Eso dependería de si utiliza el número de remitentes como parte de la verificación. También podría ser posible crear un escenario de ataque en el que un atacante envíe el código de autenticación antes que el usuario real, o un escenario en el que el usuario no quiera enviar la confirmación, pero un atacante puede hacerlo en su lugar y utilizar esto para un ataque.

SMS Spoofing

Sí, sms spoofing es posible. Incluso si no es realmente fácil (tienes que usar un hardware específico y saber cómo funciona).

Inicio de sesión único

Dependiendo de cómo se implementa esto en el servidor, idealmente, contraseña de inicio de sesión una vez significa una contraseña que se puede usar solo una vez, y luego se elimina inmediatamente después de su uso.

Entonces

Si alguien obtiene su pase de una vez y lo usa, usted mismo no podrá conectarse. A partir de ahí, deberá informar el problema al propietario del sitio.

Si pudiera conectarse con su contraseña, nadie más podría hacerlo después de usted.

Descargo de responsabilidad

Para que esto funcione correctamente, el sitio que utiliza este tipo de método debe verificar y eliminar la contraseña correctamente después del primer uso.

¿Nuevo formulario?

Mi propósito:

1. Custom (Alice) viene a una fórmula de inscripción en el sitio de Bob's Server, para crear

   • nombre de usuario
   • Todos los campos de identidad requeridos
   • Un campo específico Contraseña de una sola vez 1
   • ... vuelva a ingresar Contraseña de una sola vez 1

2. El servidor de Bob crea aleatoriamente Contraseña de una sola vez 2 para enviar por SMS al teléfono de Alice

3. Alice se conectará de nuevo a la verificación de contraseña de un solo uso , tendrá que completar correctamente 3 campos:

   • nombre de usuario
   • Contraseña de una sola vez 1 (de Alice)
   • Contraseña de una sola vez 2 (de SMS)

4. Si una tercera persona (Charles) podría obtener SMS, debe saber qué escribió Alice en la primera fórmula (¡bajo HTTPS, por supuesto!)

5. Por supuesto, las contraseñas de un solo uso deben eliminarse inmediatamente después del primer uso de todos modos.