forum.odorik.cz

http://m.zive.cz/americky-urad-varuje-d ... e/a-184594

Americký úřad varuje: dvouúrovňové ověřování pomocí SMS není bezpečné

SMS nejsou bezpečné

V dokumentu sepíše, že ověřování pomocí textových zpráv je zastaralé a nevyhovující především z důvodu, že jej lze obejít minimálně dvěma nikterak složitými způsoby.

První spočívá v podvržení telefonního čísla pomocí některé ze služeb pro VoIP, kdy je do sítě registrováno stejné číslo. Pomocí techniky VoIP hijacking je docíleno toho, že ověřovací zpráva nedorazí na telefon vlastníka účtu, ale na přístroj, který patří útočníkovi. Ten se díky tomu může dostat nejen k přihlášení (kde je stále vyžadováno běžné heslo), ale například k procesu pro obnovení účtu při zapomenutí hesla.

Dá se to podvrhnout nikterak složitě i v ČR nebo spíš myšleno pro česká čísla? To si jako v nějaké službě někde nastavím stejné číslo jako má někdo na mobilu ? Jako třeba na vlastní ústředně ? Nebo je myšleno službou jako např. Odorik ? Ten by to musel nastavit ? A to neni teda nijak ošetřené, že čísla určitého operátora nejde nastavit jiným operátorem ?
Vím, že jde CLIP, ale to je jen zobrazení čísla na jiném čísle, ale jde to i obráceně ?

Je to nesmysl, např. u přihlášení do banky ČSOB by musel někdo znát osmimístné přihlašovací jméno, pětimístné heslo a k tomu ještě získat devítimístný SMS kód, což je bez šance. A že někdo hackne ksichtoknihu pomocí podvržených kopií dokladů, to nemá se zabezpečením přes SMS nic společnýho.

To první je opravdu divné, rozhodně to nebude běžné a určitě ne tak jednoduché - VoIP operátor by se nedrříve musel stát pro ta čísla cílem, což určitě pro každé číslo udělat nepůjde. A jednoduchost tedy asi fakt ne.

Problém je spíš ta metoda druhá, kdy přesvědčíte operátora, aby novou SIM poslal vám..

A co se týká zmíněných OTP, ty také nejsou tak bezpečné, jak by se zdálo - dnes stále lze klíč z "chytrých" zařízení dostat - pak má někdo Váš OTP klíč schovaný, až se bude hodit a vy se o tom ani nikdy nedozvíte. V tomhle stále věřím radši specializovaným OTP krabičkám, než blbému telefonu.

V mobilní aplikaci to sice funguje trochu jinak než u stolního PC, ale to už se bavíme o tom, že mně někdo zcizí telefon nebo se do něho nabourá. Což de facto může stejným způsobem udělat i u stolního PC. A s tím opět nemá bezpečností ověření přes SMS nic společnýho.

Pitomec píše:Je to nesmysl, např. u přihlášení do banky ČSOB by musel někdo znát osmimístné přihlašovací jméno, pětimístné heslo a k tomu ještě získat devítimístný SMS kód, což je bez šance. A že někdo hackne ksichtoknihu pomocí podvržených kopií dokladů, to nemá se zabezpečením přes SMS nic společnýho.

Tak když se PC nakazí nějakým keylogerem třeba, tak získá přihlašovací údaje. A pokud by bylo jednoduché to s tím tefoním číslem, tak by to byl problém. Já sice používám firewal, antivirus, silná hesla, ale tak co kdyby náhodou ? Tak jsem byl přesvědčený, že s ověřováním pomocí SMS jsem v bezpečí.

I když kdybych měl na účtu miliony, tak by určitě šlo a stálo za to někomu se mi do účtu nějak dostat a asi bych používal zase jiné zabezpečení.

mobilemanic píše: Problém je spíš ta metoda druhá, kdy přesvědčíte operátora, aby novou SIM poslal vám..

Ta druhá metoda věřím, že funguje, ale ta první by mě zajímalo, jestli je to u nás v ČR s našima číslama možné. Nevím teda, jestli jsem to dobře pochopil ? Jestli jde jen o změnu VoIP čísla za jiné VoIP číslo a nebo jestli klasické mobilní číslo např. 608 123456 může někdo nějak jednoduše přihlásit pod VoIP jako je to např. u CLIPu ?

Na účtu můžou být klidně i miliardy, záleží na tom, jaký limit je nastaven v internetovém bankovnictví. A pokud si tam někdo dá "pár drobných", tak se mu účet nevyluxuje ani po hacknutí PC a telefonu To už spíš býval problém v tom, že kdysi stačilo v bance do kastlíku vhodit příkaz k úhradě se správným podpisovým vzorem a banka platbu provedla. Což je naprosto haluzní a osobně jsem tehdy banku ve svém případě donutil k tomu, že na každém takovém příkazu bude jejich ověření moji totožnosti dle OP, protože zfalšovat podpis je naprostá hračka. Možná už je to dnes jinak, toto jsem řešil někdy před 20 roky

Tak když si přesměruje mobil (což by mě zajímalo teda jestli to tak jednoduše jde?), tak si asi zvedne i limit. To už si nepamatuju jestli jde limit jen na pobočce.

V nějakém rozpětí jde limit i přes internet. Ale všechno se dá na pobočce domluvit, tj. i tu maximální výši.