Frage:
Ist 2FA per Handy immer noch eine gute Idee, wenn Telefone das am stärksten gefährdete Gerät sind?
functionalparanoia
2019-10-23 03:52:55 UTC
view on stackexchange narkive permalink

Jeder weiß, dass zwei Faktoren besser sind als einer. Mein Problem ist, dass oft nur Textnachrichten an Ihr Mobiltelefon gesendet werden dürfen. Dies führt zu zwei Problemen:

  1. Ich reise häufig nach Übersee und verliere den Zugriff auf 2FA-Konten, wenn die zugehörige SIM-Karte kein Netzwerk berühren kann.

  2. Ihr Telefon ist von Natur aus das am wenigsten gesicherte Gerät. Ich installiere viel mehr Software und lade viel mehr Dateien auf mein Telefon herunter als irgendwo anders, mit viel weniger Möglichkeiten, Quellen zu überprüfen oder den Zugriff zu kontrollieren. Beispielsweise fordert fast jede App umfassende Berechtigungen an, um ordnungsgemäß zu funktionieren. Es wurde sogar festgestellt, dass Apps, denen keine expliziten Berechtigungen erteilt wurden, diese Berechtigungen über Google-Dienste hintertüren.

    3. ol>

    Ich möchte mein Telefon mit vertraulichen Konten (z. B. Bankgeschäften) verknüpfen machen sie tatsächlich anfälliger für Angriffe und schwieriger, einen legitimen Zugriff aufrechtzuerhalten.

Diese Frage kann verbessert werden, um zu klären, ob es sich um 2FA per SMS (wie im Hauptteil der Frage) oder um die gesamte Palette von 2FA per Mobiltelefon (wie im Titel) handelt, die im Allgemeinen sicherer sind als 2FA per SMS.
"Jeder weiß, dass zwei Faktoren besser sind als einer."[Zitieren einer Peer-Review-Längsschnittstudie erforderlich] Als Argument gegen: Ihre Frage.
Sechs antworten:
Lie Ryan
2019-10-23 04:50:09 UTC
view on stackexchange narkive permalink

Ist 2FA via Mobile die beste Sicherheit, die es gibt? Nein. SMS 2FA ist die schwächste Form von 2FA . Es lohnt sich jedoch immer noch, da es die Sicherheit verbessert und insbesondere für nicht technische Benutzer eine relativ niedrige Eintrittsbarriere aufweist

Was kann verbessert werden? Sie können das TOTP-Token mit Apps wie Google Authenticator verwenden. Dies verwendet weiterhin Ihr Mobiltelefon, hängt jedoch nicht von der Telefonnummer ab, sodass Sie OTP auch dann verwenden können, wenn Ihr Telefon keine Verbindung hat.

Der nächste Schritt ist die Verwendung von dediziertes Hardware-Token , das entweder U2F oder WebAuthn entspricht, wie RSA-Token oder Yubikey. Der Website-Support ist auf einige der wichtigsten Websites beschränkt, aber eine großartige Alternative, wenn er verfügbar ist. Google Accounts ist auch ein OAuth-Anbieter, sodass Sie ihn für die Anmeldung in sozialen Netzwerken verwenden können.

Ich habe eine TOTP-App auf einem alten Telefon ohne SIM-Karte ohne andere Apps und bin von jedem Konto, mit dem ich reise, getrennt.Es ist im Grunde ein sehr teures Google Authenticator-Gerät.
Könnten Sie bitte weitere Informationen oder Hinweise dazu geben, warum "SMS 2FA die schwächste Form von 2FA ist"?
@Elhitch das ist mittlerweile allgemein bekannt, denke ich, und keine seltsame Behauptung.Es wurde 2016 als unsichere Methode eingestuft. Eine Google-Suche nach "SMS 2FA" liefert eine ganze Reihe von Treffern, die dies abdecken.
@Elhitch siehe z. B. https://security.stackexchange.com/q/14667/54387
Ich würde eher empfehlen, Soft-Token (Software-Token) zu verwenden, bei denen es sich im Wesentlichen um mobile Anwendungen handelt, die auf Ihren Telefonen ausgeführt werden und die das OTP basierend auf dem gemeinsamen Geheimnis generieren können. Sie sind gleichermaßen sicher, einfach bereitzustellen und eine kostengünstige Möglichkeit, 2FA durchzuführen (wann)im Vergleich zu dediziertem Hardware-Token)
@SoumenMukherjee und Telefone können Malware bekommen und werden sehr oft tagsüber verwendet und sind ein Ziel für Diebe.Hardware-Token haben diese Probleme nicht.
Eine gut geschriebene und gesicherte mobile Anwendung hat diese Probleme ebenfalls nicht ...
@SoumenMukherjee dieser Kommentar macht keinen Sinn.Es ist das Gerät, über das ich spreche.Die Bedrohungen gegen das * Gerät *.
Im Grunde läuft es darauf hinaus, dass * jeder * 2FA besser ist als gar kein 2FA, oder?
TOTP vermeidet nicht nur das Telefonnetz (Simjacking * ist * in freier Wildbahn aufgetreten), sondern ist auch sicherer (insbesondere bei älteren mobilen Betriebssystemen), da der private Speicher von Apps besser geschützt ist als SMS.Der Zugriff auf SMS-Daten ist häufig einfacher als der Zugriff auf den privaten Speicher einer TOTP-App.Malware mit Root-Zugriff kann zwar beide sehen, und beide werden wahrscheinlich als Hauptziele angesehen.
Auf der anderen Seite ist Google Authenticator .. Google, was möglicherweise nicht das sicherste ist :-).Betrachten Sie Authy.Oder noch besser, wenn Ihr Telefon mit einem YubiKey in Verbindung steht, verwenden Sie diesen.Am sichersten auf Reisen, da Sie sie physisch getrennt halten können, bis Sie sie zusammen verwenden müssen. Mit anderen Worten, wenn Ihr Telefon gestohlen wird, werden sie nicht automatisch bei Ihren wichtigen Konten authentifiziert.
Ja, Konnektivität ist ein Problem, aber nicht das Hauptproblem.Das Gerät ist nicht bedroht, wenn ein neues Gerät ersetzt wurde, oder?(Umleitung der Nummer).Größere Ausfälle bei Naturkatastrophen, Netzwerkausfällen oder Regierungsmandaten während einer Krise unterbrechen jedoch alle SMS 2FA mit dem anderen Netzwerkverkehr.
Nicht vollständig verwandt, aber stellen Sie sicher, dass Sie die Uhr Ihres Telefons richtig einstellen, wenn Sie es als verbindungsloses TOTP verwenden.Das war, gelinde gesagt, ein wirklich peinlicher Helpdesk-Anruf.
@Elhitch https: // Bedrohungspost.com / nist-empfiehlt-SMS-Zwei-Faktor-Authentifizierung-Verachtung / 119507 /
Beachten Sie auch, dass die NFC-fähigen Yubikeys als HSMs für telefonbasierten TOTP OATH mit z. B. [Yubico Authenticator] verwendet werden können (https://www.yubico.com/products/services-software/download/yubico-authenticator/) (Dies ist auch über [f-droid] (https://f-droid.org) für diejenigen verfügbar, die den Play Store nicht mögen.Das Telefon liefert einen Zeitstempel und der Yubikey versiegelt ihn.Dies bietet die Vorteile eines HSM, ohne dass im Gegensatz zu Option 3 oben eine spezielle HSM-Unterstützung erforderlich ist.
@Mast Ich würde die Aussage anfechten, dass "jede 2FA besser ist als keine 2FA".Wenn Ihr zweiter Faktor extrem schwach ist, aber ein falsches Gefühl des Vertrauens in Ihre Benutzer hervorruft, ist die menschliche Natur so, dass Menschen möglicherweise übermäßig selbstgefällig über ihren primären Faktor werden und z.Verwenden Sie ein nicht ausreichend sicheres Passwort, da der zweite Faktor sie schützt.Dies könnte leicht zu einer allgemeinen Verringerung der Sicherheit gegenüber einem Einzelfaktorsystem führen.
@jmbpiano Ich versuche, die Antwort zusammenzufassen, ohne eine Aussage zu machen.
R.. GitHub STOP HELPING ICE
2019-10-23 17:28:11 UTC
view on stackexchange narkive permalink

SMS 2FA ist nicht nur eine schlechte Idee. Es ist schlimmer als überhaupt kein 2FA zu haben (nur Passwort). Dies liegt daran, dass praktisch alle Dienste, die "SMS 2FA" anbieten, tatsächlich SMS 1FA liefern! Das heißt, sie ermöglichen die vollständige Wiederherstellung des Kontos per SMS, ohne dass das Kontokennwort erforderlich ist. Dies bedeutet, dass jeder, der:

  • Ihren Mobilfunkanbieter davon überzeugen kann, Ihre Nummer zu portieren
  • Ihren Mobilfunkanbieter davon überzeugen kann, dass er Sie sind und seine SIM-Karte verloren hat und eine neue benötigt
  • Richten Sie einen IMSI-Catcher ein.
  • stehlen oder "leihen" Sie Ihr Telefon und lassen Sie es entsperren.
  • Installieren Sie Malware mit SMS-Berechtigungen auf Ihrem Telefon.
  • etc.

kann praktisch jedes Konto, für das Sie SMS "2FA" aktiviert haben, vollständig übernehmen. In der Vergangenheit beschränkten sich diese Arten von Angriffen auf Ziele mit hochwertigen Konten, die an die Anzahl gebunden sind (Konten, die einen großen Ausgleich zum Austausch von Kryptowährungen, E-Mail- und Social-Media-Konten von politischen Persönlichkeiten und Prominenten usw. bieten), nehmen jedoch zu eine Bedrohung für alle sein, möglicherweise sogar zufällige, nicht zielgerichtete Angriffe.

Wenn Sie 2FA benötigen, verwenden Sie TOTP-Software oder ein Hardware-Token. Sie sollten nicht nur SMS 2FA nicht aktivieren. Sie sollten Ihre Handynummer nicht einmal an Dienste weitergeben, bei denen Sie wertvolle Konten führen, da diese Ihre Nummer unweigerlich als SMS 1FA verwenden, wenn sie gespeichert sind.

Sie übertreiben.Alle verantwortlichen Dienste benötigen vor dem Senden der Bestätigungs-SMS ein Passwort.Es sollte jedoch davon abgeraten werden, unsere Telefonnummern an zufällige Dienste weiterzugeben. Hier stimme ich Ihnen zu.
Wenn Sie die normale Anmeldeschnittstelle verwenden, ja.Wenn Sie die Schnittstelle "Passwort vergessen" verwenden, nein.Sogar große wie Facebook vermasseln es.
Dies ist ein massives Problem für Banken, Bitcoin, PayPal usw. Sie müssen die verwendete Nummer effektiv vor dem Rest der Welt verbergen.Im Falle eines Verstoßes müssen Sie ihn brennen und aktualisieren.Es ist immer noch einfach, einen Anbieter dazu zu bringen, eine Nummer auf eine neue SIM-Karte zu portieren, aber es wird schwieriger.
@AlexCohn Ich kann mein Konto per SMS für USAA (eine große Bank- und Versicherungsgesellschaft) vollständig wiederherstellen.Ich habe mich nie für die Verwendung von SMS als "2FA" angemeldet und jemanden mit der SMS-Wiederherstellungsoption Geld von meinem Konto stehlen lassen, bevor mir klar wurde, dass die Bank es hinzugefügt hat.Es ist absolut eine Sache, die große Organisationen tun.Ich bin damit einverstanden, dass "Verantwortliche" dies nicht tun, aber viele Organisationen sind viel weniger verantwortlich, als Sie vielleicht vermuten.
Für das, was es wert ist, habe ich dies auf Facebook mit einer Telefonnummer geschehen lassen, die ich seit fast 10 Jahren nicht mehr verwendet hatte. Diese wurde nur verwendet, um Updates per SMS in einem Land mit schlechter Internetverbindung zu erhalten, das jemand anderem zugewiesen wurde.Das Ergebnis wäre für die Privatsphäre von mir und anderen katastrophal gewesen, wenn ich die Benachrichtigung über das Zurücksetzen auf mein tatsächliches Telefon nicht sofort in Echtzeit gesehen hätte.Sofort wieder zurücksetzen und alle Telefonnummern aus dem Konto entfernen.Danach spammte mich FB ständig, um "eine Telefonnummer für die Sicherheit hinzuzufügen".
fraxinus
2019-10-23 15:06:58 UTC
view on stackexchange narkive permalink

Es hängt davon ab, womit Sie vergleichen, was Sie schützen müssen und was Ihren Benutzern in Rechnung gestellt und geschult werden kann.

2FA mit Mobiltelefon ist anfällig für Telefondiebstahl, Telefon-Malware und Telefonbetreiber (Fehl-) Verfahren zum Ersetzen von SIM-Karten, Sicherheitslücken im mobilen Netz usw.

Es ist jedoch weitaus besser als 1FA, beispielsweise des Benutzerkennworts. Es ist also ein guter Schritt, um eine Vielzahl von Dingen zu sichern. Der Angreifer muss nicht nur ein Passwort stehlen, sondern auch Ihr Telefon auf die eine oder andere Weise angreifen. Ein Angriff auf ein Telefon ist entweder leicht zu bemerken (ein Telefon fehlt oder funktioniert nicht) oder komplex.

Meine Bank bietet (zusammen mit besseren Optionen) SMS 2FA für eine eingeschränkte Funktionalität ihres Internetbankings an. Sie müssen. Viele ihrer Kunden können sich nicht die Mühe machen, etwas Komplexeres zu verwenden, und wenn Sie sie dazu zwingen, finden sie einfach eine andere Bank.

"Weitaus besser als 1FA von beispielsweise einem Benutzerkennwort" ist nicht aussagekräftig, ohne zu qualifizieren, auf welche Weise es besser ist - gegen welche Bedrohungen es besser ist.
Gutes Argument.Ich werde versuchen zu klären.
Ja, es geht nur um das Bedrohungsmodell.Wird 2FA per SMS gegen die NSA helfen, die Sie speziell ins Visier nimmt?Mit ziemlicher Sicherheit nicht.Kann es gegen einfache, allgemein ausgerichtete Malware helfen, die in Ihrem Browser gespeicherte Bankkennwörter stiehlt?Ja (und das ist wahrscheinlich für die meisten Menschen relevanter).
Sie können die Idioten SMS 2FA verwenden lassen, kein Problem, solange die Banken für den Rest von uns etwas anderes anbieten.Für diejenigen von uns, die keine SMS verwenden, funktioniert das tatsächlich besser :-).
Alex Cohn
2019-10-23 09:27:41 UTC
view on stackexchange narkive permalink

Ihr erstes Anliegen ist ein sehr reales, Dienste, die nicht verstehen, dass einige Kunden manchmal keinen Zugriff auf Textnachrichten haben - diese Dienste sind falsch.

Es läuft jedoch andere Software Ihr Telefon ist nicht die schlimmste Sorge in Bezug auf 2FA per SMS.

OK, ein schlechter Schauspieler liest ein einmaliges 6-stelliges Autorisierungstoken. Sie können diese Textnachricht nicht zuverlässig vor Ihnen verbergen, daher ist das Szenario "gefälschter Zugriff auf Ihr Konto auf einem anderen Gerät, heimliches Lesen des 2FA-Codes auf dem legitimen Gerät und Weiterleiten (z. B. über das Internet) an das angreifende Gerät" nicht sehr häufig wahrscheinlich.

Die schlimmste Sorge ist, dass es ziemlich einfach ist, diesen Kanal zu kompromittieren. Eine Regierung kann Ihrem Mobilfunkbetreiber anordnen, ihm eine Hintertür für Textnachrichten zu geben. Ein krimineller Akteur kann mithilfe menschlicher Technik eine illegale Kopie Ihrer SIM-Karte erhalten oder heimlich Geräte installieren, um die Textnachricht abzufangen, die nur für Ihre Augen bestimmt ist.

Natürlich können sie die Authentifizierungs-SMS vor Ihnen verbergen: https://stackoverflow.com/questions/419184/how-to-delete-an-sms-from-the-inbox-in-android-programmatisch
@ Ángel: Eine App mit "android.permission.WRITE_SMS" kann die Nachricht löschen, aber der Endbenutzer hat diese Berechtigung erteilt.Darüber hinaus wäre die Nachricht auch dann an alle registrierten SMS-Empfänger gesendet worden.Wenn der Endbenutzer alle deaktiviert und der einzelnen bösartigen App sein ganzes Vertrauen schenkt, ist die Wahl der 2FA-Technik das geringste Sicherheitsproblem.
Beachten Sie, dass deutsche (und schweizerische) Banken von SMS 2FA abgewichen sind, weil es erhebliche Angriffe gegen Online-Banking mit SMS 2FA gab. Dies ist also nicht nur eine theoretische Sorge.(Es ist jedoch attraktiver, Bankkonten mit echtem Geld anzugreifen, als sich bei security.stackexchange.com anzumelden.)
@AlexCohn Der Benutzer kann read_sms nicht ohne write_sms gewähren.Während es sich intern (aus gutem Grund) um unterschiedliche Berechtigungen handelt, ist die Benutzeroberfläche des Benutzers "vereinfacht" und es wird nur ein allgemeines SMS-Recht angefordert / autorisiert (ich würde es jedoch vorziehen, wenn es eine erweiterte Option zum Verwalten der einzelnen Berechtigungen gibt).
s h a a n
2019-10-23 21:05:09 UTC
view on stackexchange narkive permalink

2FA durch Textnachrichten - Die Multi-Factor-Authentifizierung (2FA) durch Textnachrichten ist ziemlich umständlich, vor allem, weil das Ersetzen der Sim, wie Sie sagten, es fast unmöglich macht, sich selbst zu authentifizieren, es sei denn, Sie besitzen eine zwei Telefone oder ein Dual-Sim-Telefon, und es ist auch weniger sicher und anfälliger für SIM-Hijacking-Angriffe.

2FA über Anwendungen -Plattformen wie Blizzard und Steam oder Authenticator-Apps wie Google Authenticator und Authy führen 2FA über mobile Anwendungen aus und nehmen Ihre SIM-Karte nicht mit berücksichtigt und ist daher sicherer und bequemer.

Wenn Sie also die Frage haben, ob 2FA über Mobiltelefone eine gute Idee ist, würde ich sagen, dass es ist, abhängig von der Implementierungsmethode. Wenn Sie die SIM-Karten beiseite legen und sich Sorgen um die Sicherheit machen, ist mein bester Rat, bei den installierten Dingen vorsichtiger zu sein. Überprüfen Sie immer online die Glaubwürdigkeit und Sicherheit der Anwendung, denn obwohl dies möglicherweise ärgerlich ist, verwenden Sie 2FA ist bei weitem eine der besten Möglichkeiten, um die Passwortsicherheit zu gewährleisten, und es wäre weitaus weniger sicher, sie nicht zu verwenden.

securityOrange
2019-10-26 18:51:48 UTC
view on stackexchange narkive permalink

MFA per SMS ist nicht die beste Form von MFA. In mancher Hinsicht ist es das Schlimmste. Halten Sie sich grundsätzlich so weit wie möglich davon fern.

MFA über andere mobile Quellen - wie TOTP-Codes über Apps wie Google Authenticator - sind großartig. Ich empfehle, diese so oft wie möglich zu verwenden.



Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 4.0-Lizenz, unter der er vertrieben wird.
Loading...