Alternativas a SMS como un canal fuera de banda

Navega tus respuestas
6

Estoy buscando la funcionalidad de restablecimiento de contraseña para un proyecto en el que estoy trabajando. Mirando las pautas de OWASP, sugiere el uso de SMS como un canal fuera de banda para esto. ( enlace )

Sin embargo, NIST parece desaconsejar esto. Si el código para SMS expirara (por ejemplo, en 20 minutos), esto mitigaría el riesgo de usar SMS. ¿O es SMS completamente mal visto en su estado actual?

    
pregunta Chri3 18.09.2017 - 13:44
fuente

1 respuesta

5

La caducidad de tu token SMS en 20 minutos no mitigará el ataque. Los malos actores pueden usar ataques de enrutamiento SS7 o ingeniería social para obtener acceso a sus mensajes de texto. Los ataques de ingeniería social son mucho menos tecnológicos y fáciles de hacer. En esencia implican:

  1. Llamando a su proveedor de telefonía celular
  2. Se autentica como usted, o simplemente convence al representante de servicio al cliente para que lo ayude. (Consulte: enlace ). La reciente violación de Equifax hace que esto sea aún más fácil, ya que los malos ahora también pueden responder sus preguntas de seguridad (en muchos casos).
  3. Cambiando el IMEI de su teléfono a su grabadora (como lo que ocurrió aquí: enlace ).
  4. Iniciar restablecimientos de contraseña (a su correo electrónico u otros servicios) con mensajes de texto, que ahora se enrutan al teléfono grabador.

Una vez que hayan obtenido el control y el acceso a algunas cuentas clave (sus mensajes de texto y su correo electrónico principal) tienen las claves del reino y pueden tomar el relevo, restablecer las contraseñas y bloquearlo lo más rápido posible. . Por lo general, a las personas les toma aproximadamente 1 hora descifrar que fueron hackeados. Pero, incluso si se da cuenta en 15 minutos, es muy posible que ya haya perdido el control de las cuentas clave, y le tomará algo de tiempo volver a entrar. Durante ese tiempo, los actores malos se están enrutando en su información personal que recopila datos. y planificando el siguiente movimiento, que incluye excluyendo el bloqueo.

Para 2FA fuerte y fuera de banda, muy poco supera la seguridad de las contraseñas de un solo uso basadas en el tiempo, que utiliza la autenticación de Google Yubikey.

Hay varias bibliotecas que puedes usar para generar las claves 2FA. Aquí hay algunos ejemplos:

  • PHP: enlace
  • Python: enlace
  • JavaScript: enlace ( precaución aquí. Estoy indeciso de usar el código del lado del cliente para realice esta autenticación. El lado del servidor es el mejor.

Me preocupa un poco que OWASP no haya actualizado su lista a la luz de las recomendaciones del NIST y de la violación de Equifax, que pone en riesgo las preguntas de seguridad de las personas. Tal vez tengan sus razones. Especificando cuáles son esas razones, podría ser que las preguntas de seguridad no tengan que ser respondidas con la verdad. Ejemplo: cuando se le preguntó: "¿En qué calle creciste?" Por lo general respondo con un GUID. Esto, por supuesto, requiere el uso de un administrador de contraseñas como LastPass y / o KeePass para realizar un seguimiento. Pero, la seguridad requiere esfuerzo. Además, las redes sociales son una mina de oro de preguntas y respuestas de seguridad. Entonces, tal vez las recomendaciones no tengan que cambiar ... todavía.

    
respondido por el DrDamnit 18.09.2017 - 17:33
fuente

Lea otras preguntas en las etiquetas

¿Son seguros los productos OBD-II "Connected Car" (Automatic Pro, Hum)? Mejores prácticas para almacenar las credenciales utilizadas por el código