Koniec 2fa bazującego na sms-ach.
Nie do końca bezpieczne jest używanie zabezpieczeń opartych na 2fa – jeszcze trochę i będzie to relikt przeszłości. Two-Factor Authentocation (2fa) dodała kolejny krok w kwestii wprowadzania losowego hasła, które wysyłane jest za pośrednictwem wiadomości SMS. Ma ono służyć jako dodatkowa warstwa ochrony np. podczas logowania się do banku.
Na przykład, jeśli funkcja 2fa włączona jest, dajmy na to, w gmailu, platforma będzie wysyłać na Twój telefon komórkowy sześciocyfrowe hasło podczas każdego logowania się na swoje konto.
Narodowy Instytut Standaryzacji i Technologii (NIST) wydała nową wersję uwierzytelnienia cyfrowego, które twierdzi, że takie smsy powinny być w przyszłości zakazane ze względu na obawy związane z ich bezpieczeństwem. Ze względu na coraz większy wzrost dotyczący naruszenia danych taki sposób uwierzytelnienia stał się standardową praktyką. Wielu usługodawców oferuje bowiem zabezpieczenie 2fa po to, aby haker zmuszony był podać swoje hasło oraz numer telefonu, by włamać się na konto.
NIST twierdzi natomiast, że ten sposób uwierzytelniania nie jest procesem bezpiecznym, ponieważ zbyt łatwo jest uzyskać numer telefonu, a operator nie jest w stanie potwierdzić tożsamości odbiorcy.
W rzeczywistości taki sposób uwierzytelnienia jest także narażony na przechwycenie, jeśli dana osoba używa protokołu voice-over-Internet (voIP), który zapewnia obsługę połączenia telefonicznego za pomocą szerokopasmowego internetu zamiast tradycyjnej sieci.
Niektóre usługi VoIP pozwalają na przechwycenie wiadomości sms, hakerzy z łatwością mogą uzyskać więc dostęp do konta, teoretycznie, doskonale zabezpieczonego uwierzytelnieniem opartym na wiadomości tekstowej.
Ponadto – błędy w projektowaniu SS7 – również pozwalają przechwycić wiadomość.
Na niektórych urządzeniach zaś, na ekranie blokady pojawia się treść smsa – co samo mówi za siebie, w jak łatwy sposób możne je uzyskać.
W celu zabezpieczenia konta stosowane mogą być aplikacje wykorzystujące dane biometryczne w celu uwierzytelnienia. Tego typu aplikacje zaczyna oferować nawet Facebook czy Google.
źródło: thehackernews.com