Bezpečnost dvoufázového ověřování pomocí SMS pro mobily

tls,srtp,zrtp a bezpečnostní potíže VoIP

Bezpečnost dvoufázového ověřování pomocí SMS pro mobily

Příspěvekod JPT » sob 05. lis 2016 7:58:22

http://m.zive.cz/americky-urad-varuje-dvouurovnove-overovani-pomoci-sms-neni-bezpecne/a-184594

Americký úřad varuje: dvouúrovňové ověřování pomocí SMS není bezpečné

SMS nejsou bezpečné

V dokumentu sepíše, že ověřování pomocí textových zpráv je zastaralé a nevyhovující především z důvodu, že jej lze obejít minimálně dvěma nikterak složitými způsoby.

První spočívá v podvržení telefonního čísla pomocí některé ze služeb pro VoIP, kdy je do sítě registrováno stejné číslo. Pomocí techniky VoIP hijacking je docíleno toho, že ověřovací zpráva nedorazí na telefon vlastníka účtu, ale na přístroj, který patří útočníkovi. Ten se díky tomu může dostat nejen k přihlášení (kde je stále vyžadováno běžné heslo), ale například k procesu pro obnovení účtu při zapomenutí hesla.


Dá se to podvrhnout nikterak složitě i v ČR nebo spíš myšleno pro česká čísla? To si jako v nějaké službě někde nastavím stejné číslo jako má někdo na mobilu ? Jako třeba na vlastní ústředně ? Nebo je myšleno službou jako např. Odorik ? Ten by to musel nastavit ? A to neni teda nijak ošetřené, že čísla určitého operátora nejde nastavit jiným operátorem ?
Vím, že jde CLIP, ale to je jen zobrazení čísla na jiném čísle, ale jde to i obráceně ?
JPT
 
Příspěvky: 315
Registrován: sob 03. lis 2012 23:21:05

Re: Bezpečnost dvoufázového ověřování pomocí SMS pro mobily

Příspěvekod Pitomec » sob 05. lis 2016 9:52:12

Je to nesmysl, např. u přihlášení do banky ČSOB by musel někdo znát osmimístné přihlašovací jméno, pětimístné heslo a k tomu ještě získat devítimístný SMS kód, což je bez šance. A že někdo hackne ksichtoknihu pomocí podvržených kopií dokladů, to nemá se zabezpečením přes SMS nic společnýho.
Obrázek
Uživatelský avatar
Pitomec
 
Příspěvky: 1939
Registrován: ned 27. lis 2011 22:26:33
Bydliště: Brno

Re: Bezpečnost dvoufázového ověřování pomocí SMS pro mobily

Příspěvekod mobilemanic » sob 05. lis 2016 11:02:58

To první je opravdu divné, rozhodně to nebude běžné a určitě ne tak jednoduché - VoIP operátor by se nedrříve musel stát pro ta čísla cílem, což určitě pro každé číslo udělat nepůjde. A jednoduchost tedy asi fakt ne.

Problém je spíš ta metoda druhá, kdy přesvědčíte operátora, aby novou SIM poslal vám..

A co se týká zmíněných OTP, ty také nejsou tak bezpečné, jak by se zdálo - dnes stále lze klíč z "chytrých" zařízení dostat - pak má někdo Váš OTP klíč schovaný, až se bude hodit a vy se o tom ani nikdy nedozvíte. V tomhle stále věřím radši specializovaným OTP krabičkám, než blbému telefonu.
mobilemanic
 
Příspěvky: 474
Registrován: čtv 10. říj 2013 10:20:15

Re: Bezpečnost dvoufázového ověřování pomocí SMS pro mobily

Příspěvekod Pitomec » sob 05. lis 2016 11:14:14

V mobilní aplikaci to sice funguje trochu jinak než u stolního PC, ale to už se bavíme o tom, že mně někdo zcizí telefon nebo se do něho nabourá. Což de facto může stejným způsobem udělat i u stolního PC. A s tím opět nemá bezpečností ověření přes SMS nic společnýho.
Obrázek
Uživatelský avatar
Pitomec
 
Příspěvky: 1939
Registrován: ned 27. lis 2011 22:26:33
Bydliště: Brno

Re: Bezpečnost dvoufázového ověřování pomocí SMS pro mobily

Příspěvekod JPT » sob 05. lis 2016 14:45:29

Pitomec píše:Je to nesmysl, např. u přihlášení do banky ČSOB by musel někdo znát osmimístné přihlašovací jméno, pětimístné heslo a k tomu ještě získat devítimístný SMS kód, což je bez šance. A že někdo hackne ksichtoknihu pomocí podvržených kopií dokladů, to nemá se zabezpečením přes SMS nic společnýho.


Tak když se PC nakazí nějakým keylogerem třeba, tak získá přihlašovací údaje. A pokud by bylo jednoduché to s tím tefoním číslem, tak by to byl problém. Já sice používám firewal, antivirus, silná hesla, ale tak co kdyby náhodou ? Tak jsem byl přesvědčený, že s ověřováním pomocí SMS jsem v bezpečí.

I když kdybych měl na účtu miliony, tak by určitě šlo a stálo za to někomu se mi do účtu nějak dostat a asi bych používal zase jiné zabezpečení.

mobilemanic píše:Problém je spíš ta metoda druhá, kdy přesvědčíte operátora, aby novou SIM poslal vám..


Ta druhá metoda věřím, že funguje, ale ta první by mě zajímalo, jestli je to u nás v ČR s našima číslama možné. Nevím teda, jestli jsem to dobře pochopil ? Jestli jde jen o změnu VoIP čísla za jiné VoIP číslo a nebo jestli klasické mobilní číslo např. 608 123456 může někdo nějak jednoduše přihlásit pod VoIP jako je to např. u CLIPu ?
JPT
 
Příspěvky: 315
Registrován: sob 03. lis 2012 23:21:05

Re: Bezpečnost dvoufázového ověřování pomocí SMS pro mobily

Příspěvekod Pitomec » sob 05. lis 2016 15:07:47

Na účtu můžou být klidně i miliardy, záleží na tom, jaký limit je nastaven v internetovém bankovnictví. A pokud si tam někdo dá "pár drobných", tak se mu účet nevyluxuje ani po hacknutí PC a telefonu :-) To už spíš býval problém v tom, že kdysi stačilo v bance do kastlíku vhodit příkaz k úhradě se správným podpisovým vzorem a banka platbu provedla. Což je naprosto haluzní a osobně jsem tehdy banku ve svém případě donutil k tomu, že na každém takovém příkazu bude jejich ověření moji totožnosti dle OP, protože zfalšovat podpis je naprostá hračka. Možná už je to dnes jinak, toto jsem řešil někdy před 20 roky :)
Obrázek
Uživatelský avatar
Pitomec
 
Příspěvky: 1939
Registrován: ned 27. lis 2011 22:26:33
Bydliště: Brno

Re: Bezpečnost dvoufázového ověřování pomocí SMS pro mobily

Příspěvekod JPT » ned 06. lis 2016 0:41:07

Tak když si přesměruje mobil (což by mě zajímalo teda jestli to tak jednoduše jde?), tak si asi zvedne i limit. To už si nepamatuju jestli jde limit jen na pobočce.
JPT
 
Příspěvky: 315
Registrován: sob 03. lis 2012 23:21:05

Re: Bezpečnost dvoufázového ověřování pomocí SMS pro mobily

Příspěvekod Pitomec » ned 06. lis 2016 15:13:43

V nějakém rozpětí jde limit i přes internet. Ale všechno se dá na pobočce domluvit, tj. i tu maximální výši.
Obrázek
Uživatelský avatar
Pitomec
 
Příspěvky: 1939
Registrován: ned 27. lis 2011 22:26:33
Bydliště: Brno


Zpět na Bezpečnost a šifrování hovorů

Kdo je online

Uživatelé procházející toto fórum: Žádní registrovaní uživatelé a 1 návštěvník