Julio 28, 2016

Kontoj En Risko! Aŭtentika Aŭtentikso Baziĝita per SMS Finiĝis - Ĝi estas Necerta!

Interŝanĝado0
tuit0
Interŝanĝado0
Interŝanĝado0
tuit0
Interŝanĝado0

la google, Facebook, kaj eĉ la registaro.
du-faktoraj aŭtentikigoj
Ĉi tio estis enkondukita nur por certigi, ke retpiratoj bezonus ambaŭ siajn pasvortojn kaj poŝtelefonon por haki la kontojn. Ĝi fariĝis norma praktiko nuntempe pro siaj aldonaj avantaĝoj. Sed de nun ĝi ne estos havebla por uzantoj.

Du-faktoro-Aŭtentikigo Bazita per SMS Mortis:

Ĉi tiu aldona tavolo de protekto estis deklarita kaj tre baldaŭ ĝi fariĝos pasinta afero.  US Nacia Instituto pri Normoj kaj Teknologio (NIST) publikigis novan projekton de sia Gvidlinio pri Cifereca Aŭtentikigo, kiu diras, ke du-faktoraj aŭtentikigoj bazitaj per SMS devas esti malpermesitaj estonte pro sekurecaj zorgoj.

Laŭ ĉi tiu projekto,

"Se la eksterkontrola konfirmo devas esti farita per SMS-mesaĝo sur publika poŝtelefona reto, la kontrolilo DEVAS kontroli, ke la antaŭregistrita telefonnumero uzata efektive asociiĝas kun poŝtelefona reto kaj ne kun VoIP (aŭ alia program-bazita) servo. Ĝi tiam sendas la SMS-mesaĝon al la antaŭregistrita telefonnumero. Ŝanĝi la antaŭregistritan telefonnumeron NE Eblas sen dufakta aŭtentikigo en la momento de la ŝanĝo. OOB [Eksterregula konfirmo] uzanta SMS estas malrekomendata, kaj ne plu estos permesita en estontaj eldonoj de ĉi tiu gvidilo. "

du-faktoraj aŭtentikigoj

Kiel Malsekura Aŭtentikigo de Du Faktoroj Bazita per SMS?

  • NIST (Nacia Instituto pri Normoj kaj Teknologio) deklaras du-faktoran aŭtentikigon bazitan per SMS kiel nesekura procezo pro jenaj kialoj:
  • La reteja funkciigisto havas neniun manieron kontroli ĉu la persono kiu ricevas la 2FA-kodon estas la ĝusta ricevanto aŭ ne. Do via konto riskas, kiam iu ŝtelas vian poŝtelefonon.
  • Estas multa eblo por kaperado se la individuo uzas voĉa-super-interreta-protokolo (VoIP) servo ĉar ĝi provizas telefonvokan servon per larĝbenda interreta konekto anstataŭ tradicia reto.
  • Kun la helpo de VOIP-servo, retpiratoj ankoraŭ povus aliri viajn kontojn protektitajn per SMS-dufakta aŭtentokontrolo.
  • Iuj aparatoj montras la 2FA-kodon eĉ sur la serura ekrano.
  • Retpiratoj povas ricevi vian OTP deturnante la SMS enhavantan la kodon al sia propra aparato. Ankaŭ ili povas reagordi viajn kontojn de Facebook aŭ Gmail ricevante reagordan kodon. Ĉi tio estas pro la projektaj difektoj en SS7 (Signala Sistemo-Numero 7).

BIOMETRIKO Anstataŭigos 2FA:

NIST sugestas uzi biometriko (Fingrospura skanilo) ĉar ĝi estas pli sekura ol 2FA. Pri ĉi tio, DAG-projekto legas,

"Tial, la uzo de biometriko por aŭtentikigo estas subtenata, kun la jenaj postuloj kaj gvidlinioj: Biometriko ESTAS uzata kun alia aŭtentiga faktoro (io, kion vi scias aŭ io, kion vi havas)."

biometriko

Flankenmetante Biometrikon, multaj te companiesnikaj kompanioj kiel Facebook kaj Google ofertas en-programkoda generilo kiel alternativa solvo por 2FA, ĉar ĉi tiu programo-koda generilo ne dependas de SMS-reto.

Facebook-kodo-generatoro-Android1

Lastatempe Google ankaŭ faciligis kaj rapidigis sian dufaktoran aŭtentikigon enkondukante novan metodon nomatan Google Prompto. Ĝi uzas simplan puŝan sciigon, kie vi bezonas aprobi ensalutajn petojn per unu frapeto. Ĉi tiuj ĉiuj kialoj kolektive kontraŭas la finon de du-faktoraj aŭtentikigoj bazitaj per SMS. Do uzantoj devas pli zorgi pri siaj kontoj.

Devas legi: Kiel Hakistoj istras Eviti La Du-Faktoran Aŭtentikigon de Google

SISTEM-SEKURECO

Aŭtoro Bildo

Pri la aŭtoro 

Imran Uddin

{"email": "Retpoŝta adreso nevalida", "url": "Reteja adreso nevalida", "required": "Bezonata kampo mankas"}