¿Debo eliminar los mensajes SMS que contienen contraseñas de un solo uso?

Como de costumbre, comencemos por definir el modelo de amenaza: le preocupa que alguien retenga su teléfono y revise su historial de SMS. Pero no te preocupa que los SMS sean interceptados. Es un modelo de seguridad un poco extraño porque interceptar SMS es realmente sencillo, y robar su teléfono y pasar por una contraseña segura es relativamente difícil. Pero está bien.

  

Diga si la autenticación del sitio utiliza un algoritmo inseguro para la generación de contraseñas únicas. Dado el historial suficiente de las contraseñas de un solo uso, alguien que logre recuperar los SMS almacenados en mi teléfono podría derivar la siguiente contraseña de un solo uso en la secuencia.

Por supuesto, no puedo garantizar que todos los sitios en Internet tengan OTP correctamente, pero es un estándar bastante estrictamente definido. Consulte wikipedia / Time-based_One-time_Password (y el más general wikipedia/HOTP ). Dado que esto se basa en funciones hash criptográficas sólidas, no hay riesgo de que un atacante obtenga valores futuros de los anteriores. O si pueden, entonces la función hash se consideraría rota y la retirarán a favor de una mejor.

También es posible que un sitio web no aplique correctamente la parte "única" de las contraseñas de un solo uso, pero quiero decir que es una parte bastante básica de la implementación de un sistema OTP.

Como su nombre indica, la OTP es para un uso único y se implementa principalmente con un límite de tiempo (2 a 3 min). Por lo tanto, una vez que usó su OTP (llegó a través de SMS) o el límite de tiempo transcurrido, la OTP ya no es válida.

Por lo tanto, la probabilidad de que alguien robe su teléfono y use la OTP es muy, muy baja. Y el atacante debe saber cuál es el sitio al que está accediendo para usar esta OTP.

Pero los atacantes pueden capturar la OTP antes de enviarla a tu móvil. Existen soluciones avanzadas como HOTP (algoritmo de contraseña de un solo uso basado en HMAC) para superar los ataques de Man in the Middle en la transferencia de OTP.

ALGORITMO DE CONTRASEÑA ÚNICO BASADO EN HMAC:

Este algoritmo se basa en dos cosas básicas: un secreto compartido y un factor de movimiento (a.k.a counter). Como parte del algoritmo, se generará un hash HmacSHA1 (para ser precisos, un código de autenticación de mensaje basado en hash) del factor de movimiento mediante el secreto compartido. Este algoritmo se basa en eventos, lo que significa que cada vez que se genera una nueva OTP, el factor de movimiento se incrementará, por lo tanto, las contraseñas generadas posteriormente deben ser diferentes cada vez.

Fuente: enlace

Espero que esto aclare su preocupación.

Si el sitio que envía las contraseñas de un solo uso utiliza un buen algoritmo (como HOTP ) e implícitos correctamente, no hay ningún valor en la eliminación de los mensajes antiguos. Por otro lado, si el sitio utiliza algún homebrew tonto o simplemente no implementa las cosas correctamente, eliminar los mensajes podría ser útil.

Entonces, ¿cómo sabes qué caso es? Usted no Tendrá que pensar en qué tan valiosa es la información que está tratando de proteger y en cuánto confía en la gente que administra el sitio. Personalmente, nunca me he molestado en eliminar estos mensajes, y creo que tampoco recomendaría a los usuarios "normales" que lo hagan.

Y un aspecto más: si alguien puede leer los mensajes antiguos de su teléfono, ¿no podrían también leer los nuevos? Si es así, eliminar los antiguos no ayuda, ya que el atacante solo puede activar uno nuevo y leer eso (asumiendo que ella conoce el primer factor).