Kraj dvofaktorske autentifikacije korišćenjem SMS-a

SMS se često koristi u višefaktorskoj autentifikaciji, kao dodatna mjera zaštite od krađe kredencijala.  

Ukoliko je omogućena dvofaktorska autentifikacija, korisnik prilikom prijave ne servis dobija SMS poruku sa nasumičnim nizom brojeva koje mora unijeti kako bi dobio pristup veb stranici. Međutim ova, široko rasprostranjena, praksa mogla bi postati stvar prošlosti.  

NIST (Nacionalni institut za nauku i tehnologiju SAD-a) je objavio nacrt novih smjernica za digitalnu autentifikaciju, u kojima se preporučuje zabrana korišćenja SMS-a u svrhe višefaktorske autentifikacije.  

Kao razlog za donošenje ove preporuke NIST tvrdi da servisi nisu u mogućnosti da verifikuju da se telefon stvarno nalazi kod korisnika, a ne malicioznog napadača. Još jedan od razloga za donošenje preporuke je i ranjivost SMS-a na napade presretanja.  

U slučajevima korišćenja VoIP protokola, napadači su u mogućnosti da presretnu SMS i dobiju potpunu kontrolu nad nalogom. Pored VoIP ranjivosti, još jedan protokol koji koristi značajan broj mobilnih operatera je SS7. 

SS7, protokol koji koriste mobilni operateri za međusobnu komunikaciju ima niz propusta u dizajnu koji mogu dovesti do presretanja poziva i poruka. Eksploatacijom ovih propusta napadač je u mogućnosti da ukrade kredencijale za različite aplikacije, za šta je potreban uslov da zna broj mobilnog telefona.  

Primjer krađe naloga na facebook-u možete pogledati ovdje, a isti princip je moguće koristi i u nizu drugih veb aplikacija.  

NIST predlaže upotrebu biometrijskih podataka za višefaktorsku autentifikaciju.  

Izvor:thehackernews.com