SMS OTP como 2FA: ¿debería haber un ID de sesión de sms en sms para la verificación del usuario?

1

Varias veces vi la implementación de SMS 2FA cuando un sitio web muestra "id de sesión de sms" (por ejemplo, token de 8 dígitos) justo después de enviar sms al usuario junto con el indicador OTP. Sms viene con OTP (por ejemplo, 4 dígitos) y el ID de sesión de sms (8 dígitos). El usuario debe verificar que el ID de sesión de sms en sms coincida con uno en la interfaz de usuario del sitio web y solo entonces ingrese la OTP. Si la identificación de la sesión de SMS no coincide, el usuario debe detener y evitar ingresar OTP.

¿Se está preguntando este tipo de flujo de trabajo por razones de seguridad? ¿Y la verificación de la identificación de sesión de sms protege contra algún tipo de ataque?

Un ejemplo de dicho flujo de trabajo: webmoney.ru

    
pregunta vsespb 06.07.2018 - 18:21
fuente

1 respuesta

1

Mi conjetura sería que están tratando de evitar que ingreses tu OTP en una página de phishing. Si ese es el caso, su solución es totalmente inefectiva.

Si estás en una página de phishing y recibes una OTP válida, eso significa que el phisher ya ha ingresado tu nombre de usuario y contraseña para activar el 2FA. Simplemente pueden tomar el "id de sesión" que se les envió y enviarlo a usted, y usted no sabrá nada.

4 dígitos también es bastante corto para una OTP. 6 dígitos es común, 7 u 8 es mejor. Sin la limitación adecuada o el bloqueo de la cuenta, 4 dígitos son trivial a fuerza bruta . Incluso si lo aceleran a 1 intento cada 5 segundos, tomará menos de 10 horas tener un 50% de probabilidad de adivinar el código correcto (por supuesto, es probable que note que su teléfono está explotando con una gran cantidad de OTP durante este tiempo) y cambiar su contraseña, pero aún así ...). Y eso ni siquiera está considerando el hecho de que SMS no es un canal seguro.

    
respondido por el AndrolGenhald 06.07.2018 - 22:44
fuente

Lea otras preguntas en las etiquetas