Question:
Le 2FA via téléphone mobile est-il toujours une bonne idée lorsque les téléphones sont l'appareil le plus exposé?
functionalparanoia
2019-10-23 03:52:55 UTC
view on stackexchange narkive permalink

Tout le monde sait que deux facteurs valent mieux qu'un. Mon problème est que souvent le seul deuxième facteur autorisé est les messages texte envoyés sur votre téléphone mobile. Cela crée deux problèmes:

  1. Je voyage fréquemment à l'étranger et je perds l'accès aux comptes 2FA chaque fois que la carte SIM associée ne peut pas toucher un réseau.

  2. Votre téléphone est intrinsèquement votre appareil le moins sécurisé. J'installe beaucoup plus de logiciels et télécharge beaucoup plus de fichiers sur mon téléphone que partout ailleurs avec beaucoup moins de capacité à vérifier les sources ou à contrôler l'accès. Par exemple, presque toutes les applications demandent des autorisations de balayage pour fonctionner correctement. Même les applications qui ne disposent pas d'autorisations explicites se sont révélées détournées de ces autorisations via les services Google.

J'ai l'impression que l'association de mon téléphone à des comptes sensibles (comme les services bancaires) les rendent en fait plus exposés aux attaques et plus difficiles à maintenir un accès légitime.

Cette question peut être améliorée pour clarifier s'il s'agit de 2FA via SMS (comme dans le corps de la question) ou de toute la gamme de 2FA via téléphone mobile (comme dans le titre) des méthodes généralement plus sécurisées que 2FA via SMS.
"Tout le monde sait que deux facteurs valent mieux qu'un."[citation d'une étude longitudinale examinée par des pairs nécessaire] Comme argument contre: votre question.
Six réponses:
Lie Ryan
2019-10-23 04:50:09 UTC
view on stackexchange narkive permalink

Le 2FA via mobile est-il la meilleure sécurité qui soit? Non. SMS 2FA est la forme la plus faible de 2FA , cependant, cela en vaut la peine car il améliore la sécurité et sa barrière d'entrée est relativement faible, en particulier pour les utilisateurs non techniques. .

Que peut-on améliorer? Vous pouvez utiliser le jeton TOTP à l'aide d'applications telles que Google Authenticator. Cela utilise toujours votre téléphone mobile, mais il ne dépend pas du numéro de téléphone, vous pouvez donc toujours utiliser OTP même lorsque votre téléphone n'a pas de connectivité.

La prochaine étape est d'utiliser jeton matériel dédié qui est conforme à U2F ou WebAuthn, comme le jeton RSA ou Yubikey. Le support de site Web est assez limité à certains des principaux sites, mais c'est une excellente alternative lorsqu'il est disponible. Comptes Google est également un fournisseur OAuth, vous pouvez donc l'utiliser pour vous connecter aux réseaux sociaux.

J'ai une application TOTP sur un ancien téléphone sans carte SIM, sans autre application et déconnecté de tout compte que j'utilise avec lequel je voyage.Il s'agit essentiellement d'un appareil Google Authenticator très coûteux.
Pourriez-vous s'il vous plaît fournir plus d'informations ou des références sur les raisons pour lesquelles "SMS 2FA est la forme la plus faible de 2FA"?
@Elhitch c'est de notoriété publique maintenant, je pense, et pas une affirmation étrange.Il a été considéré comme une méthode non sécurisée en 2016. Une recherche Google pour "SMS 2FA" renvoie un certain nombre de résultats qui couvrent cela.
@Elhitch voir, par exemple, https://security.stackexchange.com/q/14667/54387
Je suggère plutôt d'opter pour des jetons logiciels (jetons logiciels) qui sont essentiellement des applications mobiles fonctionnant sur vos téléphones et qui peuvent générer l'OTP en fonction du secret partagé, ils sont tout aussi sécurisés, faciles à déployer et un moyen rentable de faire 2FA (lorsquepar rapport au jeton matériel dédié)
@SoumenMukherjee et les téléphones peuvent être infectés par des logiciels malveillants, et sont très souvent utilisés pendant la journée, et sont une cible pour les voleurs.Les jetons matériels n'ont pas ces problèmes.
Une application mobile bien écrite et sécurisée n'a pas non plus ces problèmes ...
@SoumenMukherjee ce commentaire n'a pas de sens.C'est l'appareil dont je parle.Les menaces contre le * périphérique *.
Cela se résume essentiellement à * tout * 2FA est mieux que pas de 2FA du tout, non?
En plus d'éviter le réseau téléphonique (Simjacking * s'est * produit dans la nature), TOTP est également plus sécurisé (en particulier sur les anciens systèmes d'exploitation mobiles) car la mémoire privée des applications est plus protégée que les SMS.Il est souvent plus facile d'accéder aux données SMS que d'accéder au stockage privé d'une application TOTP.Bien que les logiciels malveillants avec accès root puissent voir les deux, et les deux sont probablement considérés comme des cibles de choix.
D'autre part, Google Authenticator est .. Google, qui n'est peut-être pas le plus sécurisé :-).Considérez Authy.Ou mieux encore, si votre téléphone a une sorte de communication avec une YubiKey, utilisez-la.Plus sûr lorsque vous voyagez, car vous pouvez les garder physiquement séparés jusqu'à ce que vous deviez les utiliser ensemble, en d'autres termes, si votre téléphone est volé, ils n'obtiennent pas automatiquement l'authentification sur vos comptes importants.
Oui, la connectivité est un problème, mais pas le problème principal.L'appareil n'est pas menacé si un nouvel appareil a été remplacé, non?(détournement du numéro).Mais les pannes majeures lors de catastrophes naturelles, de pannes de réseau ou de mandat du gouvernement pendant une crise coupent tous les SMS 2FA avec l'autre trafic réseau.
Pas complètement lié, mais assurez-vous de régler correctement l'horloge de votre téléphone si vous l'utilisez comme TOTP sans connexion.C'était pour le moins un appel au service d'assistance vraiment embarrassant.
@Elhitch https: // menacepost.com / nist-recommend-sms-two-factor-authentication-deprecation / 119507 /
Notez également que les Yubikeys compatibles NFC peuvent être utilisés comme HSM pour TOTP OATH par téléphone avec par exemple [Yubico Authenticator] (https://www.yubico.com/products/services-software/download/yubico-authenticator/) (qui est également disponible via [f-droid] (https://f-droid.org) pour ceux qui n'aiment pas le Play Store).Le téléphone fournit un horodatage et le Yubikey le scelle.Cela donne les avantages d'un HSM sans nécessiter de prise en charge HSM spécifique, contrairement à l'option 3 ci-dessus.
@Mast Je conteste l'affirmation selon laquelle "tout 2FA vaut mieux que pas de 2FA".Si votre deuxième facteur est extrêmement faible mais inspire un sentiment de confiance déplacé chez vos utilisateurs, la nature humaine est telle que les gens peuvent devenir trop complaisants à propos de leur facteur principal et, par exemple,utilisez un mot de passe insuffisamment fort en pensant que le deuxième facteur les protégera.Cela pourrait facilement entraîner une diminution globale de la sécurité sur un système à facteur unique.
@jmbpiano J'essaie de résumer la réponse, pas de poser une déclaration.
R.. GitHub STOP HELPING ICE
2019-10-23 17:28:11 UTC
view on stackexchange narkive permalink

SMS 2FA n'est pas seulement une mauvaise idée; c'est pire que de ne pas avoir du tout 2FA (mot de passe uniquement). En effet, pratiquement tous les services proposant "SMS 2FA" délivrent en fait des SMS 1FA ! Autrement dit, ils permettent une récupération complète du compte via SMS, sans avoir besoin du mot de passe du compte. Cela signifie que toute personne qui peut:

  • convaincre votre opérateur de téléphonie mobile de transférer votre numéro
  • convaincre votre opérateur de téléphonie mobile qu’elle est vous et qu’elle a perdu sa carte SIM et en a besoin d’une nouvelle
  • configurer un capteur IMSI
  • voler ou "emprunter" votre téléphone et le déverrouiller
  • installer des logiciels malveillants sur votre téléphone avec des autorisations SMS
  • etc.

peut prendre le contrôle de pratiquement tous les comptes sur lesquels vous avez activé SMS "2FA". Dans le passé, ces types d'attaques étaient limités aux cibles avec des comptes de grande valeur liés au nombre (comptes détenant une grande balance sur les échanges de crypto-monnaie, comptes de messagerie et de médias sociaux de personnalités politiques et de célébrités, etc.) être une menace pour tout le monde, peut-être même des attaques aléatoires non ciblées.

Si vous avez besoin de 2FA, utilisez le logiciel TOTP ou un jeton matériel. Non seulement vous ne devez pas activer SMS 2FA; vous ne devriez même pas donner votre numéro de téléphone mobile aux services sur lesquels vous détenez de précieux comptes, car ils utiliseront inévitablement votre numéro comme SMS 1FA s'ils l'ont enregistré.

Vous exagérez.Tous les services responsables nécessitent un mot de passe avant d'envoyer le SMS de vérification.Mais la mauvaise pratique de donner nos numéros de téléphone à des services aléatoires doit être découragée, ici je suis d'accord avec vous.
Si vous utilisez l'interface de connexion normale, oui.Si vous utilisez l'interface "mot de passe oublié", non.Même les plus gros comme Facebook le gâchent.
C'est un problème énorme pour les banques, Bitcoin, PayPal, etc. Vous devez effectivement cacher le numéro utilisé du reste du monde.En cas de violation, vous devez le graver et le mettre à jour.Il est toujours facile de faire porter un numéro par un fournisseur sur une nouvelle carte SIM, mais cela devient de plus en plus difficile.
@AlexCohn Je suis capable de récupérer complètement mon compte par SMS pour USAA (une grande compagnie bancaire et d'assurance).Je ne me suis jamais inscrit pour utiliser SMS en tant que «2FA» et j'ai demandé à quelqu'un de voler de l'argent sur mon compte en utilisant l'option de récupération par SMS avant de réaliser que la banque l'avait ajouté.C'est absolument une chose que font les grandes organisations.Je conviens que les "responsables" ne le sont pas, mais de nombreuses organisations sont beaucoup moins responsables que vous ne le pensez.
Pour ce que ça vaut, c'est arrivé sur Facebook avec un numéro de téléphone que je n'avais pas utilisé depuis près de 10 ans, qui n'était utilisé que pour obtenir des mises à jour par SMS dans un pays avec une mauvaise connectivité Internet, qui avait été attribué à quelqu'un d'autre.Le résultat aurait été désastreux pour ma vie privée et celle des autres si je n'avais pas immédiatement vu la notification de réinitialisation sur mon téléphone réel en temps réel.Réinitialisez immédiatement et supprimez tous les numéros de téléphone du compte.Après cela, FB m'a constamment spammé pour "ajouter un numéro de téléphone pour la sécurité".
fraxinus
2019-10-23 15:06:58 UTC
view on stackexchange narkive permalink

Cela dépend de ce à quoi vous comparez, de ce que vous devez protéger et de ce que vos utilisateurs peuvent être facturés et formés à utiliser.

Le 2FA avec un téléphone mobile est sujet au vol de téléphone, aux logiciels malveillants sur les téléphones et aux opérateurs Procédures (erronées) de remplacement de la carte SIM, vulnérabilités du réseau mobile, etc.

C'est, cependant, BEAUCOUP mieux que 1FA du mot de passe utilisateur, par exemple. C'est donc un bon pas pour sécuriser un grand nombre de choses. L'attaquant doit non seulement voler un mot de passe, mais également attaquer votre téléphone d'une manière ou d'une autre. Une attaque contre un téléphone est soit facilement repérable (un téléphone manquant ou ne fonctionne pas) soit complexe.

Ma banque propose (avec de meilleures options) SMS 2FA pour une fonctionnalité limitée de leur banque en ligne. Ils doivent. Beaucoup de leurs clients ne peuvent pas être dérangés d'utiliser quelque chose de plus complexe et si vous les forcez, ils trouveront simplement une autre banque.

«Bien mieux que 1FA de, disons, le mot de passe de l'utilisateur» n'a pas de sens sans préciser en quoi il est meilleur - quelles menaces il résiste mieux.
Point valide.Je vais essayer de clarifier.
Oui, tout dépend du modèle de menace.Le 2FA par SMS va-t-il aider à éviter que la NSA ne vous cible spécifiquement?Presque certainement pas.Peut-il aider contre certains logiciels malveillants simples et largement ciblés qui volent les mots de passe bancaires enregistrés dans votre navigateur?Oui (et c'est probablement plus pertinent pour la plupart des gens).
Vous pouvez laisser les idiots utiliser SMS 2FA, pas de problème, tant que les banques proposent autre chose pour le reste d'entre nous.Cela fonctionne mieux ainsi pour ceux d'entre nous qui n'utilisent pas les SMS :-).
Alex Cohn
2019-10-23 09:27:41 UTC
view on stackexchange narkive permalink

Votre première préoccupation est très réelle, les services qui ne comprennent pas que parfois, certains clients peuvent ne pas avoir accès aux messages texte - ces services sont faux.

Cependant, avoir d'autres logiciels en cours votre téléphone n'est pas la pire préoccupation concernant 2FA par SMS.

OK, un mauvais acteur lira un jeton d'autorisation unique à 6 chiffres. Ils ne peuvent pas vous cacher ce SMS de manière fiable, donc le scénario "faux accès à votre compte sur un autre appareil, lire furtivement le code 2FA sur l'appareil légitime et le transmettre (par exemple via Internet) à l'appareil attaquant" n'est pas très probablement.

Le pire problème est qu'il est assez facile de compromettre cette chaîne. Un gouvernement peut ordonner à votre opérateur cellulaire de lui donner une porte dérobée à la messagerie texte. Un acteur criminel peut utiliser l'ingénierie humaine pour obtenir une copie illégale de votre carte SIM, ou installer furtivement un équipement pour intercepter le message texte qui est destiné à vos yeux uniquement.

Bien sûr, ils peuvent vous cacher les sms d'authentification: https://stackoverflow.com/questions/419184/how-to-delete-an-sms-from-the-inbox-in-android-programmatically
@ Ángel: une application qui a `android.permission.WRITE_SMS` peut supprimer le message, mais c'est l'utilisateur final qui a accordé cette autorisation.En outre, même dans ce cas, le message aurait été diffusé à tous les récepteurs SMS enregistrés.Si l'utilisateur final choisit de les désactiver tous et de mettre toute sa confiance dans la seule application malveillante, le choix de la technique 2FA est le moindre problème de sécurité.
Notez que les banques allemandes (et suisses) se sont éloignées de SMS 2FA en raison d'attaques importantes contre les services bancaires en ligne utilisant SMS 2FA, il ne s'agit donc pas seulement d'un souci théorique.(Cependant, attaquer des comptes bancaires contenant de l'argent réel est plus attrayant que de pouvoir se connecter à security.stackexchange.com.)
@AlexCohn l'utilisateur ne peut pas accorder read_sms sans write_sms.Bien qu'en interne, ce soient des autorisations différentes (pour de bonnes raisons), l'interface utilisateur est `` simplifiée '' et seul un droit SMS générique est demandé / autorisé (je préférerais qu'il y ait une option avancée pour gérer les autorisations individuelles, cependant).
s h a a n
2019-10-23 21:05:09 UTC
view on stackexchange narkive permalink

2FA par SMS - L'authentification multifacteur (2FA) par SMS est assez lourde, principalement parce que, comme vous l'avez dit, le remplacement de la carte SIM rend presque impossible de s'authentifier à moins que vous ne possédiez deux téléphones ou un téléphone dual-sim, et il est également moins sécurisé et plus vulnérable aux attaques de détournement de carte SIM.

2FA via des applications - Des plates-formes comme Blizzard et Steam, ou des applications Authenticator comme Google Authenticator et Authy exécutent 2FA via des applications mobiles, ne prennent pas votre SIM en compte et est donc plus sûr et plus pratique.

Donc, si votre question est de savoir si la 2FA via les téléphones mobiles est une bonne idée, alors je dirais que oui , en fonction de la méthode de mise en œuvre. Changement de carte SIM mis à part, si vous êtes préoccupé par la sécurité, mon meilleur conseil serait d'être plus méfiant quant aux choses que vous installez - vérifiez toujours en ligne la crédibilité et la sécurité de l'application, car même si cela peut être ennuyeux à faire, utiliser 2FA est de loin l'un des meilleurs moyens d'assurer la sécurité des mots de passe et il serait beaucoup moins sûr de ne pas l'utiliser.

securityOrange
2019-10-26 18:51:48 UTC
view on stackexchange narkive permalink

L'authentification multifacteur par SMS n'est pas la meilleure forme d'authentification multifacteur. À certains égards, c’est un peu le pire. Éloignez-vous autant que possible de celui-ci.

MFA via d'autres sources mobiles - telles que les codes TOTP via des applications comme Google Authenticator - sont excellents. Je recommande de les utiliser autant que possible.



Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 4.0 sous laquelle il est distribué.
Loading...