web-dev-qa-db-ja.com

携帯電話が最も露出されているデバイスである場合、携帯電話経由の2FAはまだ良い考えですか?

2つの要素が1つよりも優れていることは誰もが知っています。私の問題は、許可される唯一の2番目の要素が携帯電話に送信されるテキストメッセージであることです。これにより2つの懸念が生じます。

  1. 海外に頻繁に旅行し、関連するSIMカードがネットワークに接続できない場合はいつでも2FAアカウントにアクセスできなくなります。

  2. あなたの電話は本質的にあなたの最も安全でないデバイスです。私は、ソースを確認したり、アクセスを制御したりする能力がはるかに低い他のどこよりも、多くのソフトウェアをインストールし、他のどこよりも多くのファイルをダウンロードしています。たとえば、ほぼすべてのアプリは、正しく機能するために広範な権限を要求します。明示的な権限が付与されていないアプリでも、Googleサービスを介してこれらの権限をバックドアすることが判明しています。

私の電話を機密性の高いアカウント(バンキングなど)にリンクすると、実際にそれらが攻撃にさらされやすくなり、正当なアクセスを維持することが困難になります。

authenticationandroidmulti-factoraccount-securitypermissions
63
functionalparanoia

モバイル経由の2FAは最高のセキュリティですか?いいえ。SMS 2FAは2FAの最も弱い形式ですが、セキュリティが向上し、特にエントリのバリアが比較的低いため、それでも価値があります。非技術ユーザー向け。

何を改善できますか? Google Authenticatorのようにアプリを使用したTOTPトークンを使用できます。これは引き続き携帯電話を使用しますが、電話番号に依存しないため、携帯電話が接続されていない場合でもOTPを使用できます。

次のステップは、RSAトークンやYubikeyなどのU2FまたはWebAuthnのいずれかに準拠する専用ハードウェアトークンを使用することです。 Webサイトのサポートは、いくつかの主要なサイトにかなり限定されていますが、利用できる場合は、優れた代替手段となります。 GoogleアカウントはOAuthプロバイダーでもあるため、ソーシャルネットワークログインに使用できます。

50
Lie Ryan

SMS 2FAは悪い考えだけではありません。 2FAがまったくない(パスワードのみ)よりも悪いです。これは、事実上「SMS 2FA」を提供するすべてのサービスが実際に配信しているためですSMS 1FA!つまり、完全なSMSを使用したアカウントの回復(アカウントのパスワードは必要ありません)これは、次のことができる人を意味します。

  • 携帯電話会社にあなたの番号を移植するように説得する
  • 彼らがあなたであり、彼らは彼らのSIMカードを失い、新しいものを必要とするあなたの携帯電話会社を納得させる
  • iMSIキャッチャーをセットアップする
  • スマートフォンを盗むか「借りて」ロックを解除する
  • SMS権限で電話にマルウェアをインストールする
  • 等.

SMS "2FA"を有効にしたほぼすべてのアカウントを完全に乗っ取ることができます。これまで、これらの種類の攻撃は、番号に関連付けられた高価値のアカウント(暗号通貨交換、政治家や有名人の電子メールやソーシャルメディアアカウントなどの大規模な攻撃ですが、すべての人にとって脅威になりつつあります。

2FAが必要な場合は、TOTPソフトウェアまたはハードウェアトークンを使用します。 SMS 2FAを有効にしないだけでなく、貴重なアカウントを保持しているサービスに携帯電話番号を渡さないでください。必然的に番号が使用されます。 SMS 1FAとして、ファイル上にある場合。

27
R.. GitHub STOP HELPING ICE

これは、比較対象、保護対象、およびユーザーへの課金とトレーニングの対象によって異なります。

携帯電話を使用した2FAは、電話の盗難、電話のマルウェア、電話オペレーターのSIMの交換(誤った)手順、モバイルネットの脆弱性などの傾向があります。

ただし、たとえばユーザーパスワードの1FAよりも優れています。だから、それは多くのものを確保する上で良いステップになります。攻撃者はパスワードを盗むだけでなく、何らかの方法で携帯電話を攻撃する必要があります。電話に対する攻撃は、簡単に気付く(電話がないか機能していない)か複雑です。

私の銀行は(より良いオプションとともに)提供していますSMSインターネットバンキングの限られた機能に対して2FA。彼らはそうしなければなりません。多くの顧客は、より複雑なものを使用することに煩わされることはありません。強制的に彼らはただ別の銀行を見つけるでしょう。

2
fraxinus

あなたの最初の懸念は非常に現実的なものであり、サービスによってはテキストメッセージにアクセスできない場合があることを理解していません。これらのサービスは間違っています。

ただし、電話機で他のソフトウェアを実行していることは、SMSを介した2FAに関して最悪の懸念事項ではありません。

OK、一部の不正行為者は1回限りの6桁の認証トークンを読み取ります。彼らはあなたからこのテキストメッセージを確実に隠すことができないため、シナリオ「別のデバイスでのアカウントへの偽のアクセス、合法的なデバイスでの2FAコードのステルス読み取り、および攻撃デバイスへのインターネット経由など」はそれほどではありません。たぶん。

最悪の懸念は、このチャネルを危うくするのはかなり簡単だということです。政府は、携帯電話事業者にテキストメッセージングへのバックドアを与えるように命令する場合があります。犯罪者は、人間のエンジニアリングを使用してSIMカードの違法コピーを入手したり、機器を密かにインストールして、あなたの目だけを意図したテキストメッセージを傍受したりすることができます。

1
Alex Cohn

SMSを介したMFAは、MFAの最良の形式ではありません。ある意味で、これは最悪の場合です。基本的に、可能な限りMFAから離れてください。

他のモバイルソースを介したMFA(Google認証システムなどのアプリを介したTOTPコードなど)は優れています。なるべく使用することをお勧めします。

0
securityOrange

テキストメッセージによる2FA-テキストメッセージによる多要素認証(2FA)はかなり面倒です。これは、主に、あなたが言ったように、2つの電話を所有していないか、またはデュアルSIM電話であり、安全性が低く、SIMハイジャック攻撃に対して脆弱です。

アプリケーションを介した2FA-BlizzardやSteamなどのプラットフォーム、またはGoogle AuthenticatorやAuthyなどのAuthenticatorアプリは、モバイルアプリケーションを介して2FAを実行しますSIMを考慮しないため、より安全で便利です。

したがって、もしあなたの質問が携帯電話を介した2FAが良い考えであるかどうかなら、私はそれはと言うでしょう、実装の方法に依存します。 SIMカードを脇に置いて、セキュリティが心配な場合は、インストールするものについてより慎重にすることをお勧めします。アプリケーションの信頼性とセキュリティについては、オンラインで常に確認してください。これは、パスワードのセキュリティを確保するための最善の方法の1つであり、パスワードを使用しないと安全性が大幅に低下します。

0
s h a a n