¿Por qué los servicios web siguen preguntándome sobre mi número de teléfono?

7

Dicen que es por mi propia seguridad y que de alguna manera mi cuenta es más "segura" si la vinculo con mi número de teléfono, pero no entiendo por qué: ya tienen mi dirección de correo electrónico a través de la cual puedo restablecerla. contraseñas Además, ¿cuál es el impacto en mi privacidad si le doy un número de teléfono a un servicio web? ¿Para qué pueden usarlo?

En otras palabras, ¿qué gano y qué gana el proveedor de servicios al vincular mi número de teléfono con mi cuenta?

    
pregunta Dunno 11.10.2015 - 20:24
fuente

3 respuestas

8

EDIT: Como esta es todavía la respuesta aceptada, he realizado una serie de cambios en el texto a continuación para aclarar eso, mientras que el "por qué "es todavía" probablemente para la autenticación multifactor ", este método no es confiable.

Un número de teléfono permite una manera fácil de configurar la autenticación de dos factores para cosas como restablecimientos de contraseñas u otras acciones sensibles. Al llamarlo o enviar un mensaje de texto, el servicio puede confirmar que [acceder a] el teléfono [número] es una cosa que tiene . Una cuenta de correo electrónico es solo una cosa que sabes , lo mismo que una contraseña, porque puedes acceder a ella sin otra cosa que no sea una contraseña (y el identificador, en este caso, la dirección en sí, pero los identificadores). generalmente se consideran públicos). Por lo tanto, un flujo de restablecimiento de contraseña de dos factores podría ser algo como esto:

  1. Haga clic en "Olvidé mi contraseña" al iniciar sesión.
  2. Ingrese su dirección de correo electrónico, y el sitio le envía un enlace para restablecer la contraseña.
  3. Abra el enlace para restablecer la contraseña (que contiene un token secreto), lo que demuestra que la contraseña de su cuenta de correo electrónico es algo que sabe .
  4. El servicio le envía un mensaje de texto con un breve código secreto (posiblemente después de que confirme su número de teléfono).
  5. Usted ingresa el código del mensaje, lo que demuestra que su teléfono es algo que tiene .
  6. Se está completando la autenticación de dos factores, ahora puede establecer una nueva contraseña, iniciar sesión en el sitio, etc.

La ventaja para el proveedor de servicios es que ahora es mucho menos probable que tengan que gastar tiempo de servicio al cliente y una posible buena voluntad del cliente en la línea entre "No puedo recordar mi contraseña" y "alguien hackeó mi cuenta". Ese tipo de cosas puede suponer un importante derrumbe de costos, y si el sitio contiene algo delicado, puede causar daños a la reputación del sitio si no son lo suficientemente paranoicos.

Desafortunadamente, secuestrar números móviles no es tan difícil de hacer. Incluso dejando a un lado los ataques técnicos (torres celulares falsas o falsificando el teléfono o olfateando pasivamente el tráfico de radio para detectar el SMS que se envía), las compañías telefónicas han demostrado que no son confiables cuando se trata de autenticar correctamente a las personas antes de emitir un nuevo SIM con tu numero Como tal, los segundos factores de SMS o basados en llamadas deben considerarse una protección adicional débil, y no se debe confiar en definitivamente para la autenticación de un solo factor.

En cuanto a lo que el proveedor puede hacer con un número, bueno, en el peor de los casos sería darlo o venderlo a los robocallers, el equivalente telefónico de spam. Llamar a un número de teléfono móvil de esta manera es ilegal en los EE. UU. (Ya que somos el único lugar en el mundo en el que el destinatario paga las llamadas entrantes, ya sea a través de crédito prepago o minutos de uso, por lo que los mensajes comerciales sin un negocio existente) las relaciones están prohibidas) pero suceden de todos modos. Sin embargo, de manera realista, es poco probable que cualquiera de los sitios menos el más incompleto haga algo como esto (no dude en consultar su política de privacidad, aunque, por supuesto, no hay garantía de que no sea una mentira).

La segunda cosa peor sería usarlo para enviarte llamadas o mensajes no solicitados, pero creo que nunca he visto que esto suceda (verifica si hay "uso de tu información de contacto para marketing o promociones ... "y asegúrate de que no esté seleccionada).

En teoría, el número de teléfono puede ser útil para identificarlo personalmente (a través de un servicio de directorio / red social / agenda telefónica / lo que sea) y es mucho más fácil crear direcciones de correo electrónico desechables que números de teléfono desechables. Sin embargo, es poco probable. Si eres el tipo de persona que usa un nombre falso y una dirección de correo electrónico de un solo uso cuando te registras para algo, entonces poner tu número de teléfono real allí es obviamente un riesgo. De lo contrario, probablemente sea bastante inofensivo.

    
respondido por el CBHacking 11.10.2015 - 20:55
fuente
3

Porque es la forma más fácil de obtener el segundo factor (algo que tiene) en autenticación de dos factores . Cómo funciona esto se explicó bastante bien en la respuesta de CBHacking. Sin embargo ...

El uso de su teléfono para la autenticación de dos factores es una IDEA MALA

El problema con los teléfonos es que es sorprendentemente fácil para los piratas informáticos crear un ingeniero social a través del departamento de servicio al cliente de una empresa de telecomunicaciones y transferir su número al suyo, luego usar el teléfono para restablecer la contraseña de la cuenta.

No importa cuán experto en informática seas. Las personas en el espacio de la criptomoneda han sido hackeadas de esta manera:

  

En el último mes, hubo al menos 10 casos de personas involucradas públicamente en la escena de la criptomoneda que fueron victimizadas por el secuestro de teléfonos móviles. Las consecuencias han sido costosas, vergonzosas, duraderas y, en al menos un caso, potencialmente mortales.

La Comisión Federal de Comercio de los EE. UU. ha publicado un aviso sobre El creciente problema del secuestro de cuentas telefónicas . Más información sobre el secuestro del número de teléfono por parte de un laico fue recientemente en Forbes , por ejemplo.

Siempre que sea posible, no proporcione su número de teléfono y elija Google Authenticator como método 2FA. Para obtener más detalles, consulte esta guía excelente de Kraken de intercambio de monedas criptográficas, o cómo proteger sus cuentas en línea .

    
respondido por el Dan Dascalescu 14.07.2017 - 01:06
fuente
2

Tengo la hipótesis de que es un identificador (número de seguro no social) que las empresas se venden entre sí para realizar un seguimiento de todo lo que hace. Hasta ahora me han preguntado: Vanguard, Fidelity, Bank of America, eBay, Amazon, Netflix, Yahoo, Google, LinkedIn. Creo que hay más, pero se me olvida. Puede estar centralizado porque todos preguntan de la misma manera, con la opción "no en este momento" (nunca una opción de "no, dejenme solo y nunca más pregunten"). Mi lado psicótico dice que está administrado por la NSA como una forma fácil de rastrearte y todo lo que haces (imagina, un código de número único que representa una presencia en línea y todo lo que haces. El cielo para los espías del gobierno). El lado racional de mí dice que está dirigido por anunciantes. ¿Creo que es por seguridad? No Si es por seguridad, hipotéticamente puede dar un número diferente a cada empresa (¿por qué debe ser un número de teléfono real al que puedan llamar de cualquier manera? ¿O pueden varias personas usar el mismo número compartido? ¿O puede configurar varias entradas de Skype? ¿números?). Soy una persona naturalmente sospechosa y mis alarmas se están volviendo locas estos últimos meses. Algo no está bien del todo.

    
respondido por el Plasko 05.05.2016 - 03:02
fuente

Lea otras preguntas en las etiquetas