題:
基於手機號碼的驗證是否安全?
Lone Learner
2020-07-14 09:00:55 UTC
view on stackexchange narkive permalink

網站通常會向手機號碼發送驗證碼。這樣安全嗎?如果不安全,還有其他更好的選擇嗎?

它是第二弱的因素,並且由於已知許多對移動電話的攻擊(應用程序,新的SIM卡,ss7),因此在一些更重要的用例中不再允許使用該功能。但是,這仍然是容易進入的因素,具有較低的進入門檻(除了電子郵件地址之外,最低),而且由於您可以訪問的模擬合同數量是成本因素,因此許多服務都使用它來減少建立假帳戶的機會。
最初的問題是:“這是驗證手機號碼所有權的安全方法嗎?它有任何問題嗎?”-我認為目前非常簡短的問題已經沒有多大意義了。“這安全嗎?”- 為了什麼?!
這回答了你的問題了嗎?[攔截SMS(兩因素身份驗證)有多困難?](https://security.stackexchange.com/questions/11493/how-hard-is-it-to-intercept-sms-two-factor-authentication)
@craq 2012年的問題和答案似乎根本都沒有提到SS7,而對“ SS7 2FA”的簡單搜索顯示這現在是一個[重大問題](https://www.vice.com/en_us/article/ mbzvxv / criminals-hackers-ss7-uk-banks-metro-bank)已被積極利用。
以使現有答案無效的方式編輯問題通常被認為是整個Stack Exchange網絡中的不當行為。@LoneLearner -請不要那樣做,請考慮將編輯內容還原為原始含義,並用新內容提出一個單獨的問題。
通過哪種方式安全?您想實現什麼?
三 答案:
Jeff Ferland
2020-07-14 10:03:17 UTC
view on stackexchange narkive permalink

如果它不安全,還有其他更好的選擇嗎?

對於某些威脅模型而言這是安全的,並且可訪問性與攻擊面的最佳權衡。要攔截SMS,您必須對消息的路由或接收消息的設備進行一些控制。

沒有運營商級別的特權信息/見解,SMS是目前可用的最佳身份驗證方法,儘管它有一些缺陷,包括說服用戶在接收到第三方代碼後向其發送代碼。

如果您需要更強的確認身份和在線用戶之間某種聯繫的方法,則可能需要使用的不是手機。郵寄與顯示給用戶的代碼配對的硬件令牌會更安全,但也更昂貴,更慢。 Fido2可以防止重播,但是不允許出現電話號碼稀缺的感覺,因為大多數人不會花錢註冊很多電話號碼,除非您進入證明簽名並且這會打開一個整體新罐蠕蟲……

這些“更強”的解決方案中的每一個都解決了不同的問題,並增加了公司,最終用戶或兩者的額外成本和復雜性負擔。 SMS仍然是普通大眾最容易實現的目標。

……或者,正如已經廣泛報導的那樣,僅訪問傳遞消息的網絡。例如:https://www.theverge.com/2017/9/18/16328172/sms-two-factor-authentication-hack-password-bitcoin 如果沒有很好的免費客戶端為各種簡單的TOTP和HOTP解決方案提供方便,這些客戶端包括Web瀏覽器,台式機以及移動設備/可穿戴設備,那麼我同意,儘管有風險,SMS仍然是可接受的第二因素。但是由於這些事情確實存在,因此以我個人的估計,SMS下降到了遙遠的第二位。
[HT] OTP方法具有更高的安全性,但是如上所述,它不提供資源稀缺性,與電話號碼的連接,並且要求用戶提供更高的知識,包括在損壞或丟失設備時不會丟失令牌機密。
我認為不可能在沒有指定應用程序的情況下宣稱它是“最佳折衷方案”或“可用的最佳身份驗證方法”,或者在安全性和可用性之間進行折衷的首選級別。我認為,由於我的手機號碼成為身份盜用的受害者,我更喜歡OTP。
我應該補充一點,OTP的主要優勢在於它可以在不連接到網絡的情況下工作(例如,在“飛機模式”,無處不在或漫遊時)。
@craq另一個(可能很少見,取決於一個人的家庭/工作)未連接的例子恰好在一個大都市的中間,但是由於牆壁厚實而無法獲得塔樓的接待,我不幸的是,我一直沒能找到一個地方我通過wifi接入了高速互聯網,但沒有足夠的信號接收短信
就是說,“教”用戶如何備份其TOTP應用/恢復代碼,以使他們在手機丟失/損壞時不會丟失它比將這種恢復工作轉移給移動運營商要困難得多。通過SS7漏洞或只是頑皮的應用程序監聽文本將變得更加猖pushing,然後網站才考慮為TOTP而不是短信提供更多支持
聽說過“ SIM卡交換攻擊”嗎?人們遭受有針對性的攻擊而損失了數百萬美元,在這種攻擊中,只有SMS驗證才能訪問該服務。
告訴人們使用authy或lastpass或其他用於備份OTP機密的系統通常是可以的……只要他們不使用與服務開始時相同的密碼即可。
Esa Jokinen
2020-07-14 09:51:46 UTC
view on stackexchange narkive permalink

最初,該問題不是關於SMS驗證(例如,用於密碼恢復或MFA),而是關於電話號碼的validation。這回答了這個問題。

驗證的目的不是驗證號碼的所有權,而是驗證訪問權限。驗證訂閱的所有權是合法的,並且需要法律文件。父母通常為他們的孩子擁有訂閱權,為員工擁有工作場所等。此外,由於用例與訪問權限有關,因此無需驗證所有權。

您正在要求比SMS更好的驗證,但是SMS是最簡單的驗證方法,因為與號碼綁定並且用戶可以訪問的方法不多。嗯,系統可以打電話給用戶,而機器人可以告訴這個秘密,但這並沒有增加任何內容,因為電話呼叫也可以被監聽。聽力受損也將是一場噩夢。

另一方面,實際上並不需要加強身份驗證,因為這樣做的目的是防止混淆數字,可能會導致例如MFA對用戶不可用。從站點的角度來看,如果您接受SMS通知甚至廣告,則驗證也可能是為了避免向第三方發送不必要的消息。

我擔心Google,Facebook和其他使用SMS來驗證用戶對手機號碼的訪問權限的原因是,當帳戶被鎖定後,他們會使用相同的電話號碼來解鎖該帳戶。
@LoneLearner為什麼帳戶被鎖定?
@user253751有多種原因,但最常見的原因是對系統檢測到異常活動的響應,該異常活動通常表示試圖破壞帳戶。
最初的問題是關於**電話號碼的驗證/驗證**,而不是關於使用電話號碼進行驗證(經過驗證)。這個答案是針對[原始](https://security.stackexchange.com/revisions/234641/3)問題的,因此它的措辭是這樣的。
這是以美國為中心的答案嗎?在韓國,美國人可能會通過短信稱其為2FA,稱為“身份驗證”(ident),該過程似乎非常想證明*所有權*,而非訪問權限。例如,要觀看有年齡限制的YouTube視頻,您需要驗證名稱,SSN和手機號碼。
不是以美國為中心,而是西方。我來自歐洲。
@Max也許限制性更強的是韓國?印度尼西亞是保守派力量,可以在Google&Bing上啟用安全搜索,如果不使用VPN或第三方DNS,則無法退出,但是只需點擊一下年齡限制的YouTube視頻即可。身份證號碼主要用於打擊洗錢的金融服務。與SK最接近的等效對象可能是廢棄的英國審查提案和即將推出的澳大利亞審查提案
聽說過“ SIM卡交換攻擊”嗎?人們遭受針對性攻擊的數百萬美元的損失,而使用SMS驗證是訪問該服務所必需的。
是。最初,此問題不是關於用於密碼恢復或MFA的SMS驗證,而是關於電話號碼的驗證。我想我應該在答案的開頭加上這個...
Zaphod
2020-07-15 23:48:00 UTC
view on stackexchange narkive permalink

對這些驗證系統的一種攻擊已經存在了至少兩年(至少)。

這是它的工作方式:

攻擊者打電話給目標機構冒充帳戶持有者並請求服務。

另一位串聯的攻擊者打電話給受害者冒充同一機構的代表,調查可能的帳戶欺詐行為。

機構要求攻擊者驗證身份。攻擊者然後嘗試使用挖掘的信息進入SMS驗證階段。然後,攻擊者二告訴目標公司,要求其在帳戶解析過程中輸入驗證碼。

目標從機構接收有效的SMS,然後將其轉發給攻擊者2。代碼被傳遞給攻擊者,該攻擊者向該機構進行身份驗證並進行交易。

我不確定這對SMS代碼是唯一的。您可以使用TOTP代碼執行完全相同的操作。


該問答將自動從英語翻譯而來。原始內容可在stackexchange上找到,我們感謝它分發的cc by-sa 4.0許可。
Loading...