Bezpečnost dvoufázového ověřování pomocí SMS pro mobily

tls,srtp,zrtp a bezpečnostní potíže VoIP
Odpovědět
JPT
Příspěvky: 322
Registrován: sob 03. lis 2012 22:21:05

Bezpečnost dvoufázového ověřování pomocí SMS pro mobily

Příspěvek od JPT »

http://m.zive.cz/americky-urad-varuje-d ... e/a-184594
Americký úřad varuje: dvouúrovňové ověřování pomocí SMS není bezpečné

SMS nejsou bezpečné

V dokumentu sepíše, že ověřování pomocí textových zpráv je zastaralé a nevyhovující především z důvodu, že jej lze obejít minimálně dvěma nikterak složitými způsoby.

První spočívá v podvržení telefonního čísla pomocí některé ze služeb pro VoIP, kdy je do sítě registrováno stejné číslo. Pomocí techniky VoIP hijacking je docíleno toho, že ověřovací zpráva nedorazí na telefon vlastníka účtu, ale na přístroj, který patří útočníkovi. Ten se díky tomu může dostat nejen k přihlášení (kde je stále vyžadováno běžné heslo), ale například k procesu pro obnovení účtu při zapomenutí hesla.
Dá se to podvrhnout nikterak složitě i v ČR nebo spíš myšleno pro česká čísla? To si jako v nějaké službě někde nastavím stejné číslo jako má někdo na mobilu ? Jako třeba na vlastní ústředně ? Nebo je myšleno službou jako např. Odorik ? Ten by to musel nastavit ? A to neni teda nijak ošetřené, že čísla určitého operátora nejde nastavit jiným operátorem ?
Vím, že jde CLIP, ale to je jen zobrazení čísla na jiném čísle, ale jde to i obráceně ?
Uživatelský avatar
Pitomec
Příspěvky: 2570
Registrován: ned 27. lis 2011 21:26:33
Bydliště: Brno

Re: Bezpečnost dvoufázového ověřování pomocí SMS pro mobily

Příspěvek od Pitomec »

Je to nesmysl, např. u přihlášení do banky ČSOB by musel někdo znát osmimístné přihlašovací jméno, pětimístné heslo a k tomu ještě získat devítimístný SMS kód, což je bez šance. A že někdo hackne ksichtoknihu pomocí podvržených kopií dokladů, to nemá se zabezpečením přes SMS nic společnýho.
Obrázek
mobilemanic
Příspěvky: 486
Registrován: čtv 10. říj 2013 10:20:15

Re: Bezpečnost dvoufázového ověřování pomocí SMS pro mobily

Příspěvek od mobilemanic »

To první je opravdu divné, rozhodně to nebude běžné a určitě ne tak jednoduché - VoIP operátor by se nedrříve musel stát pro ta čísla cílem, což určitě pro každé číslo udělat nepůjde. A jednoduchost tedy asi fakt ne.

Problém je spíš ta metoda druhá, kdy přesvědčíte operátora, aby novou SIM poslal vám..

A co se týká zmíněných OTP, ty také nejsou tak bezpečné, jak by se zdálo - dnes stále lze klíč z "chytrých" zařízení dostat - pak má někdo Váš OTP klíč schovaný, až se bude hodit a vy se o tom ani nikdy nedozvíte. V tomhle stále věřím radši specializovaným OTP krabičkám, než blbému telefonu.
Uživatelský avatar
Pitomec
Příspěvky: 2570
Registrován: ned 27. lis 2011 21:26:33
Bydliště: Brno

Re: Bezpečnost dvoufázového ověřování pomocí SMS pro mobily

Příspěvek od Pitomec »

V mobilní aplikaci to sice funguje trochu jinak než u stolního PC, ale to už se bavíme o tom, že mně někdo zcizí telefon nebo se do něho nabourá. Což de facto může stejným způsobem udělat i u stolního PC. A s tím opět nemá bezpečností ověření přes SMS nic společnýho.
Obrázek
JPT
Příspěvky: 322
Registrován: sob 03. lis 2012 22:21:05

Re: Bezpečnost dvoufázového ověřování pomocí SMS pro mobily

Příspěvek od JPT »

Pitomec píše:Je to nesmysl, např. u přihlášení do banky ČSOB by musel někdo znát osmimístné přihlašovací jméno, pětimístné heslo a k tomu ještě získat devítimístný SMS kód, což je bez šance. A že někdo hackne ksichtoknihu pomocí podvržených kopií dokladů, to nemá se zabezpečením přes SMS nic společnýho.
Tak když se PC nakazí nějakým keylogerem třeba, tak získá přihlašovací údaje. A pokud by bylo jednoduché to s tím tefoním číslem, tak by to byl problém. Já sice používám firewal, antivirus, silná hesla, ale tak co kdyby náhodou ? Tak jsem byl přesvědčený, že s ověřováním pomocí SMS jsem v bezpečí.

I když kdybych měl na účtu miliony, tak by určitě šlo a stálo za to někomu se mi do účtu nějak dostat a asi bych používal zase jiné zabezpečení.
mobilemanic píše: Problém je spíš ta metoda druhá, kdy přesvědčíte operátora, aby novou SIM poslal vám..
Ta druhá metoda věřím, že funguje, ale ta první by mě zajímalo, jestli je to u nás v ČR s našima číslama možné. Nevím teda, jestli jsem to dobře pochopil ? Jestli jde jen o změnu VoIP čísla za jiné VoIP číslo a nebo jestli klasické mobilní číslo např. 608 123456 může někdo nějak jednoduše přihlásit pod VoIP jako je to např. u CLIPu ?
Uživatelský avatar
Pitomec
Příspěvky: 2570
Registrován: ned 27. lis 2011 21:26:33
Bydliště: Brno

Re: Bezpečnost dvoufázového ověřování pomocí SMS pro mobily

Příspěvek od Pitomec »

Na účtu můžou být klidně i miliardy, záleží na tom, jaký limit je nastaven v internetovém bankovnictví. A pokud si tam někdo dá "pár drobných", tak se mu účet nevyluxuje ani po hacknutí PC a telefonu :-) To už spíš býval problém v tom, že kdysi stačilo v bance do kastlíku vhodit příkaz k úhradě se správným podpisovým vzorem a banka platbu provedla. Což je naprosto haluzní a osobně jsem tehdy banku ve svém případě donutil k tomu, že na každém takovém příkazu bude jejich ověření moji totožnosti dle OP, protože zfalšovat podpis je naprostá hračka. Možná už je to dnes jinak, toto jsem řešil někdy před 20 roky :)
Obrázek
JPT
Příspěvky: 322
Registrován: sob 03. lis 2012 22:21:05

Re: Bezpečnost dvoufázového ověřování pomocí SMS pro mobily

Příspěvek od JPT »

Tak když si přesměruje mobil (což by mě zajímalo teda jestli to tak jednoduše jde?), tak si asi zvedne i limit. To už si nepamatuju jestli jde limit jen na pobočce.
Uživatelský avatar
Pitomec
Příspěvky: 2570
Registrován: ned 27. lis 2011 21:26:33
Bydliště: Brno

Re: Bezpečnost dvoufázového ověřování pomocí SMS pro mobily

Příspěvek od Pitomec »

V nějakém rozpětí jde limit i přes internet. Ale všechno se dá na pobočce domluvit, tj. i tu maximální výši.
Obrázek
Odpovědět