¿Es seguro confiar en los mensajes de texto como un medio de autenticación?

1

Muchos sitios web, incluidos los bancos, utilizan mensajes de texto como su medio de autenticación principal o secundario. En teoría, suena como un método perfecto a menos que el usuario pierda su teléfono o lo tenga infectado con un virus.

Sin embargo, ¿existen ataques conocidos a los mensajes de texto que no dependen del acceso al teléfono real? ¿Es perfectamente seguro confiar en los mensajes de texto como método de autenticación?

    
pregunta JonathanReez 30.05.2014 - 00:46
fuente

2 respuestas

2

En mi opinión, los mensajes SMS para la autenticación de dos factores no son una decisión de diseño segura en comparación con otras alternativas.

Los mensajes SMS son vulnerables a varios escenarios:

  • Malware en el teléfono inteligente, la la gran mayoría de los usuarios no verifican permisos, por lo que es razonable suponer que los creadores de malware podrían acceder fácilmente a SMS. Esto es especialmente un problema si el ataque contra la contraseña también se originó en el teléfono (como a través de una aplicación de phishing).
  • GSM puede potencialmente comprometido

Una alternativa que es superior en casi todos los aspectos es TOTP , donde básicamente el usuario cifra el Tiempo en lugar de que el servicio tenga que enviar algo al usuario. De esta manera, no es necesario realizar ninguna comunicación con el dispositivo 2FA, y se puede utilizar de forma efectiva fuera de línea.

Google Authenticator es una implementación popular.

    
respondido por el thexacre 30.05.2014 - 04:18
fuente
1

SMS no es un medio seguro de autenticación, pero es más seguro que nada. El punto de un segundo factor es requerir más de un atacante antes de que puedan obtener acceso. La idea es que, con suerte, el tiempo necesario para comprometer el segundo factor compre el tiempo suficiente para detectar y corregir el compromiso del primero.

Por lo tanto, no es necesario que los mensajes SMS sean imposibles de comprometer, solo que sea lo suficientemente difícil como para comprometer los mensajes SMS que es más difícil para un atacante obtener la contraseña y el SMS juntos. Existen opciones mucho mejores, como las soluciones HOTP, pero a menudo requieren la distribución de dispositivos independientes (si no desea el mismo problema de malware del teléfono).

La seguridad se trata de equilibrar el riesgo y el costo. Los mensajes SMS son baratos y proporcionan seguridad adicional, incluso si no son seguros por sí mismos. Suben un poco la barra casi sin costo alguno.

    
respondido por el AJ Henderson 30.05.2014 - 16:46
fuente

Lea otras preguntas en las etiquetas