verificación SMS, ¿es seguro? [duplicar]

13

En mi aplicación web (todo funciona con HTTPS), le envío un SMS con un código único de 5 dígitos a un número de teléfono que proporciona. Luego le pido al usuario que ingrese en el navegador el código que recibió. Aparte de la pura suerte de adivinar los 5 dígitos, ¿es 100% seguro o hay una manera de moderar este método?

Gracias.

    
pregunta frenchie 07.11.2016 - 19:21
fuente

5 respuestas

17

Voy a decir que no. Si bien SMS es un segundo factor generalmente aceptado, ha habido varios casos en los que un atacante ha utilizado la ingeniería social para ingresar en la cuenta del operador de un usuario, recoger el código de verificación y usarlo. Entonces, para responder a su pregunta, ¿es 100% seguro además de las conjeturas, no?

EDITAR: para agregar a esta información, incluso NIST está eliminando SMS como un segundo factor válido de sus estándares de seguridad.

    
respondido por el Ryan Kelso 07.11.2016 - 19:26
fuente
12

Lo que describe no es en absoluto un enfoque seguro. Los mensajes SMS se transmiten por el aire sin garantía de cifrado.

Pueden ser interceptado y grabado .

Además, sus mensajes SMS son tan seguros como su proveedor. Los hackers pueden ejecutar un ataque de ingeniería social: como convencer a un operador de telefonía celular para que envíe mensajes a un dispositivo controlado por el pirata informático .

Es un canal público, inseguro y debe ser tratado como tal. Agregar el tipo de verificación de SMS es mejor que nada, pero existen riesgos que pueden no ser aceptables en el contexto de su aplicación. Si estamos hablando de autenticación hay métodos mucho mejores.

Más:

enlace

    
respondido por el Antonius Bloch 07.11.2016 - 22:05
fuente
4

Por supuesto que no es 100% seguro. Además, el NIST está actualizando su guía de autenticación digital y está a punto de prohibir los SMS .

Debería utilizar otros medios de 2FA cuando el usuario se registre. Incluso puede utilizar una aplicación para teléfonos inteligentes, aunque esto también apesta .

No obtendrás el 100%, pero si deseas obtener un máximo real, debes enviar tarjetas inteligentes con certificados x509 o al menos un Yubikey autoinicializado.

    
respondido por el cornelinux 07.11.2016 - 22:36
fuente
2

Ofrece un cierto nivel de seguridad, pero es tan seguro como el servicio al cliente de su proveedor. P.ej. uno puede saber algo de información básica sobre usted, como la dirección, el apellido de soltera de la madre, etc. ... llame al transportista, transfiera el número y secuestre cualquiera que sea la intención ...

    
respondido por el user129923 07.11.2016 - 23:26
fuente
2

Hace aproximadamente 4 meses, hubo una ola de personal popular de Internet (y sus operadores de telefonía móvil) que se convirtieron en dispositivos sociales para bloquear y volver a emitir sus tarjetas SIM a terceros. A partir de ahí, con la verificación en dos pasos que envían SMS a sus teléfonos, los malos lograron alterar las redes sociales y otras cuentas de otras personas.

Un video sobre esto de H3H3Productions (posiblemente lenguaje nsfw).

Por lo tanto, dejando de lado los problemas técnicos de la comunicación por teléfono celular, agregando SMS como una opción de verificación y crea oportunidades para la ingeniería social.

    
respondido por el user1306322 08.11.2016 - 01:53
fuente

Lea otras preguntas en las etiquetas