Muchos sitios web, incluidos los bancos, utilizan mensajes de texto como su medio de autenticación principal o secundario. En teoría, suena como un método perfecto a menos que el usuario pierda su teléfono o lo tenga infectado con un virus.
Sin embargo, ¿existen ataques conocidos a los mensajes de texto que no dependen del acceso al teléfono real? ¿Es perfectamente seguro confiar en los mensajes de texto como método de autenticación?
En mi opinión, los mensajes SMS para la autenticación de dos factores no son una decisión de diseño segura en comparación con otras alternativas.
Los mensajes SMS son vulnerables a varios escenarios:
Una alternativa que es superior en casi todos los aspectos es TOTP , donde básicamente el usuario cifra el Tiempo en lugar de que el servicio tenga que enviar algo al usuario. De esta manera, no es necesario realizar ninguna comunicación con el dispositivo 2FA, y se puede utilizar de forma efectiva fuera de línea.
Google Authenticator es una implementación popular.
SMS no es un medio seguro de autenticación, pero es más seguro que nada. El punto de un segundo factor es requerir más de un atacante antes de que puedan obtener acceso. La idea es que, con suerte, el tiempo necesario para comprometer el segundo factor compre el tiempo suficiente para detectar y corregir el compromiso del primero.
Por lo tanto, no es necesario que los mensajes SMS sean imposibles de comprometer, solo que sea lo suficientemente difícil como para comprometer los mensajes SMS que es más difícil para un atacante obtener la contraseña y el SMS juntos. Existen opciones mucho mejores, como las soluciones HOTP, pero a menudo requieren la distribución de dispositivos independientes (si no desea el mismo problema de malware del teléfono).
La seguridad se trata de equilibrar el riesgo y el costo. Los mensajes SMS son baratos y proporcionan seguridad adicional, incluso si no son seguros por sí mismos. Suben un poco la barra casi sin costo alguno.
Lea otras preguntas en las etiquetas authentication mobile sms