it-swarm.com.de

Ist 2FA per Handy immer noch eine gute Idee, wenn Telefone das am stärksten gefährdete Gerät sind?

Jeder weiß, dass zwei Faktoren besser sind als einer. Mein Problem ist, dass oft nur Textnachrichten an Ihr Mobiltelefon gesendet werden dürfen. Dies schafft zwei Bedenken:

  1. Ich reise häufig nach Übersee und verliere den Zugriff auf 2FA-Konten, wenn die zugehörige SIM-Karte kein Netzwerk berühren kann.

  2. Ihr Telefon ist von Natur aus das am wenigsten gesicherte Gerät. Ich installiere viel mehr Software und lade viel mehr Dateien auf mein Telefon herunter als irgendwo anders, mit viel weniger Möglichkeiten, Quellen zu überprüfen oder den Zugriff zu kontrollieren. Beispielsweise fordert fast jede App umfassende Berechtigungen an, um ordnungsgemäß zu funktionieren. Es wurde festgestellt, dass sogar Apps, denen keine expliziten Berechtigungen erteilt wurden, diese Berechtigungen über Google-Dienste hintertüren.

Ich habe das Gefühl, dass die Verknüpfung meines Telefons mit sensiblen Konten (z. B. Bankgeschäften) sie tatsächlich Angriffen aussetzen und es schwieriger machen würde, einen legitimen Zugriff aufrechtzuerhalten.

63

Ist 2FA via Mobile die beste Sicherheit, die es gibt? Nein. SMS 2FA ist die schwächste Form von 2FA , aber es lohnt sich immer noch, weil es die Sicherheit verbessert und eine hat relativ niedrige Eintrittsbarriere insbesondere für nichttechnische Anwender.

Was kann verbessert werden? Sie können TOTP-Token mit Apps wie Google Authenticator verwenden. Dies verwendet weiterhin Ihr Mobiltelefon, hängt jedoch nicht von der Telefonnummer ab, sodass Sie OTP auch dann verwenden können, wenn Ihr Telefon keine Verbindung hat.

Der nächste Schritt danach ist die Verwendung von dediziertem Hardware-Token , das entweder U2F oder WebAuthn entspricht, wie RSA-Token oder Yubikey. Der Website-Support ist auf einige der wichtigsten Websites beschränkt, aber eine großartige Alternative, wenn er verfügbar ist. Google Accounts ist auch ein OAuth -Anbieter), sodass Sie ihn für die Anmeldung in sozialen Netzwerken verwenden können.

50
Lie Ryan

SMS 2FA ist nicht nur eine schlechte Idee; Es ist schlimmer als überhaupt kein 2FA zu haben (nur Passwort). Dies liegt daran, dass praktisch alle Dienste, die "SMS 2FA" anbieten, tatsächlich liefern SMS 1FA! Das heißt, sie ermöglichen eine vollständige Wiederherstellung des Kontos per SMS, ohne dass das erforderlich ist Konto Passwort. Dies bedeutet jeder, der kann:

  • überzeugen Sie Ihren Mobilfunkanbieter, Ihre Nummer zu portieren
  • überzeugen Sie Ihren Mobilfunkanbieter, dass Sie es sind und dass er seine SIM-Karte verloren hat und eine neue benötigt
  • richten Sie einen IMSI-Catcher ein
  • stehlen oder "leihen" Sie Ihr Telefon und lassen Sie es entsperren
  • installieren Sie Malware mit SMS Berechtigungen) auf Ihrem Telefon
  • usw.

kann praktisch jedes Konto, das Sie aktiviert haben, vollständig übernehmen SMS "2FA" aktiviert. In der Vergangenheit waren diese Arten von Angriffen auf Ziele mit hochwertigen Konten beschränkt, die an die Nummer gebunden sind (Konten mit a Ein großer Ausgleich für den Austausch von Kryptowährungen, E-Mail- und Social-Media-Konten von politischen Persönlichkeiten und Prominenten usw.) wird jedoch zunehmend zu einer Bedrohung für alle, möglicherweise sogar für zufällige, nicht zielgerichtete Angriffe.

Wenn Sie 2FA benötigen, verwenden Sie TOTP-Software oder ein Hardware-Token. Sie sollten nicht nur nicht aktivieren SMS 2FA; Sie sollten nicht einmal Ihre Handynummer an Dienste weitergeben, für die Sie wertvolle Konten führen, da diese unweigerlich verwenden Sie Ihre Nummer als SMS 1FA wenn sie es in der Datei haben.

Dies hängt davon ab, womit Sie vergleichen, was Sie schützen müssen und was Ihren Benutzern in Rechnung gestellt und geschult werden kann.

2FA mit Mobiltelefon ist anfällig für Telefondiebstahl, Telefon-Malware, SIM-Austauschverfahren (Fehl-) des Telefonbetreibers, Sicherheitslücken im Mobilfunknetz usw.

Es ist jedoch viel besser als 1FA des Benutzerkennworts. Es ist also ein guter Schritt, um eine Vielzahl von Dingen zu sichern. Der Angreifer muss nicht nur ein Passwort stehlen, sondern auch Ihr Telefon auf die eine oder andere Weise angreifen. Ein Angriff auf ein Telefon ist entweder leicht zu bemerken (ein Telefon fehlt oder funktioniert nicht) oder komplex.

Meine Bank bietet (zusammen mit besseren Optionen) SMS 2FA für eine eingeschränkte Funktionalität ihres Internet-Bankings. Sie müssen. Viele ihrer Kunden können sich nicht die Mühe machen, etwas Komplexeres zu verwenden, und wenn Sie zwinge sie, sie werden nur eine andere Bank finden.

2
fraxinus

Ihr erstes Anliegen ist ein sehr reales, Dienste, die nicht verstehen, dass einige Kunden manchmal keinen Zugriff auf Textnachrichten haben - diese Dienste sind falsch.

Die Ausführung anderer Software auf Ihrem Telefon ist jedoch nicht das schlimmste Problem in Bezug auf 2FA per SMS.

OK, ein schlechter Schauspieler liest einen einmaligen 6-stelligen Autorisierungstoken. Sie können diese Textnachricht nicht zuverlässig vor Ihnen verbergen, daher ist das Szenario "gefälschter Zugriff auf Ihr Konto auf einem anderen Gerät, heimliches Lesen des 2FA-Codes auf dem legitimen Gerät und Weiterleiten (z. B. über das Internet) an das angreifende Gerät" nicht sehr häufig wahrscheinlich.

Die schlimmste Sorge ist, dass es ziemlich einfach ist, diesen Kanal zu kompromittieren. Eine Regierung kann Ihrem Mobilfunkbetreiber anordnen, ihm eine Hintertür für Textnachrichten zu geben. Ein krimineller Akteur kann mithilfe menschlicher Technik eine illegale Kopie Ihrer SIM-Karte erhalten oder heimlich Geräte installieren, um die Textnachricht abzufangen, die nur für Ihre Augen bestimmt ist.

1
Alex Cohn

MFA via SMS ist nicht die beste Form von MFA. In mancher Hinsicht ist es die schlechteste. Halten Sie sich grundsätzlich so weit wie möglich von dieser fern.

MFA über andere mobile Quellen - wie TOTP-Codes über Apps wie Google Authenticator - sind großartig. Ich empfehle, diese so oft wie möglich zu verwenden.

0
securityOrange

2FA durch Textnachrichten - Die Multi-Faktor-Authentifizierung (2FA) durch Textnachrichten ist ziemlich umständlich, hauptsächlich weil das Ersetzen der Sim, wie Sie sagten, es fast unmöglich macht, sich selbst zu authentifizieren, es sei denn, Sie besitzen zwei Telefone oder Ein Dual-Sim-Telefon, das weniger sicher und anfälliger für SIM-Hijacking-Angriffe ist.

2FA über Anwendungen - Plattformen wie Blizzard und Steam oder Authenticator-Apps wie Google Authenticator und Authy führen 2FA über mobile Anwendungen aus Berücksichtigen Sie Ihre SIM-Karte nicht und ist daher sicherer und bequemer.

Wenn Ihre Frage also lautet, ob 2FA über Mobiltelefone eine gute Idee ist, würde ich je nach Implementierungsmethode es ist sagen. Wenn Sie die Sicherheitskarten außer Acht lassen, ist es mein bester Rat, bei den von Ihnen installierten Dingen vorsichtiger zu sein. Überprüfen Sie immer online die Glaubwürdigkeit und Sicherheit der Anwendung, denn obwohl dies möglicherweise ärgerlich ist, verwenden Sie 2FA ist bei weitem eine der besten Möglichkeiten, um die Passwortsicherheit zu gewährleisten, und es wäre weitaus weniger sicher, sie nicht zu verwenden.

0
s h a a n