Americký úrad navrhuje zakázať dvojfaktorovú autentizáciu založenú na SMS. Nie je bezpečná
Americký Národný inštitút pre štandardy a technológie (NIST) navrhuje, aby všetky on-line služby upustili od dvojfaktorovej autentizácie založenej na SMS. Podľa návrhu Digital Authentication Guideline 800-63B je takéto overovanie zastarané a málo bezpečné. Namiesto neho by sa mali používať tokeny a softvérové kryptografické autentizátory (mobilné aplikácie, ktoré generujú jednorazové kódy).
Keďže overovacia SMS pri pokuse prihlásiť sa na on-line účet nemusí byť doručená na konkrétny telefón, ale ju možno presmerovať na službu VoIP, dvojfaktorová autentizácia pomocou SMS trpí zraniteľnosťou. Technikou tzv. VoIP hijackingu možno dosiahnuť, že overovacia správa sa nedostane na telefón vlastníka účtu, ale na zariadenie, ktoré patrí útočníkovi.
Druhá možnosť útoku sa opiera o sociálne inžinierstvo. Útočník môže presvedčiť mobilného operátora, aby mu vydal a aktivoval novú SIM kartu, ktorá bude zaregistrovaná na telefónne číslo obete. Preto NIST navrhuje používať pri autentizácii iné mecha ...
Článok je uzamknutý
Prihlásiť pomocou členstva NEXTECH
Článok je uzamknutý
Pokračovanie článku patrí k prémiovému obsahu pre predplatiteľov. S digitálnym predplatným už od 10 € získate neobmedzený prístup k uzamknutému obsahu na celý rok. Objednať si ho môžete TU. Ak ho už máte prihláste sa TU
Prihlásiť pomocou členstva NEXTECH