Die primäre Angriffsmethode gegen SMS-OTP besteht darin, ' sim swap' und die Telefonnummer des Ziels zu übernehmen. Wenn die Site in diesem Szenario die vollständige Nummer bereitstellt, gibt sie dem Angreifer genau die Informationen, die er benötigt, um die verwendete Sicherheit zu beeinträchtigen.

(So heben Sie Kommentare auf: Im Allgemeinen mehr Persönliche Informationen werden benötigt, wenn Sie Mitarbeiter von Social Engine Telecom zum Austausch der SIM-Karte beauftragen möchten. An einigen Orten und unter einigen Netzbetreibern ist es sogar noch schwieriger, einen Personalausweis persönlich vorzulegen Fälle, in denen nicht mehr als die Telefonnummer erforderlich ist, auch wenn ein verstärkter Schutz vorhanden ist, wenn die Telekommunikationsmitarbeiter mit den Angreifern zusammenarbeiten.)

Hier geht es nicht um eine "Sicherheitslücke". Hierbei handelt es sich um personenbezogene Daten (PII). Dies ist der gleiche Grund, warum Kreditkartennummern auch auf Websites nicht vollständig angezeigt werden.

Jeder, der an Ihrem Bildschirm vorbeikommt, Kameras aufzeichnet usw., würde die Informationen sehen. Und es ist nicht notwendig, die ganze Zahl anzuzeigen. Es dient nur als Erinnerung an den Benutzer.

Wenn die vollständige Nummer aufgeführt wäre, könnte ich Ihr Konto besuchen, ein neues Passwort anfordern und Ihre Telefonnummer kennen. Die letzten beiden Ziffern sind ein Kompromiss, der es Ihnen ermöglicht, die (wahrscheinliche) Nummer zu ermitteln, ohne Ihre Telefonnummer an jemanden weiterzugeben, der sie auf der Website anzeigen möchte.

Nun, wir sind uns alle einig, dass durch die Anzeige der vollständigen Telefonnummer vertrauliche Informationen über den Benutzer verloren gehen. Ich weiß nicht, welche Vorschriften für Ihr Land gelten. Aufgrund der DSGVO gelten Telefonnummern der europäischen Vorschriften als persönliche Daten und sollten daher angemessen behandelt werden. Dies bedeutet, dass die Anwendung / Website nicht GDPR-konform ist, wenn die Telefonnummer einem anderen Benutzer mitgeteilt wird. Auch hier weiß ich nicht, welche Vorschriften in Ihrem speziellen Fall gelten, aber ich halte es für nützlich, dies bei der Entwicklung Ihrer Anwendung zu berücksichtigen.

Betrachten wir nun das Szenario, in dem der böswillige Benutzer TRUDY irgendwie gelandet ist Der OTP-Bildschirm und eine Meldung werden angezeigt. Ein Otp wurde an +30 0000000001 gesendet. Was kann TRUDY damit tun? Ich kann mir 4 Szenarien vorstellen.

1. Sim-Tausch Wie von gowenfawr beschrieben. Dies kann je nach Sim-Swap-Prozess, den jeder Carrier implementiert, unterschiedliche Erfolgsfaktoren haben.
2. Social Engineering . Senden von Nachrichten als Ihr Unternehmen wie Your_company.com Klicken Sie auf den Link, um otp / password und andere Phishing-E-Mails einzufügen.
3. OSINT . Telefonnummern sind eindeutig genug, um einem Angreifer zu helfen, eine Open-Source-Untersuchung über den Benutzer in sozialen Medien und anderen Plattformen durchzuführen, die in Spear-Phishing-E-Mails verwendet werden können, oder um Sicherheitsfragen wie zu beantworten. Aus welchem ​​Land / Bundesland stammen Sie . Dies ist natürlich nicht das wahrscheinlichste Szenario und erfordert, dass TRUDY speziell Zeit für diesen Benutzer investiert.
ol>

Abschließend, solange TRUDY die Telefonnummer nicht verwenden kann, um weiteren Zugriff auf Ihr System zu erhalten Ich würde argumentieren, dass es keine Sicherheitslücke ist.

Beachten Sie, dass die Sicherheit einer Telefonnummer bei verschiedenen Mobilfunkbetreibern unterschiedlich sein kann. Sie wissen nicht, wie ernst ein anderer, nicht mit Ihrer Organisation verbundener Mensch die Sicherheit nimmt. Dies gilt insbesondere dann, wenn Ihre Kunden in fernen Ländern ansässig sind und Sie nur sehr wenig über die Arbeitsweise der Betreiber dort wissen. In meinem Land ist es möglich, zu einem Mobilfunkbetreiberzentrum zu kommen und die Leute davon zu überzeugen, Ihnen einfach die SIM-Karte der gewünschten Telefonnummer zu geben. Alles, was Sie ihnen geben müssen, sind gefälschte Passkopien, und sie müssen sie möglicherweise nicht überprüfen. Sie brauchen also keine ausgefallenen 0-Tage-Schwachstellen und Hacking-Fähigkeiten, sprechen Sie einfach mit einigen nicht verwandten Personen. Dies ist in der Vergangenheit viel passiert und ist ein großes Sicherheitsproblem. Einige Menschen haben dadurch den Zugang zu ihren Websites oder Domain-Namen verloren und riesige Einkommensbeträge verloren. Hacker verwendeten die auf Telefonnummern basierende Einzelfaktorauthentifizierung, um Zugriff auf ihre Konten zu erhalten und sie zu stehlen.

Ich würde Ihnen Links zu Beispielen geben, aber sie sind in einer anderen Sprache und ich möchte nicht beschuldigt werden der Verleumdung.

Lange Rede, kurzer Sinn: Der Schutz von Telefonnummern ist überhaupt nicht gut, zumindest wenn es sich meiner Meinung nach um einen einzelnen Faktor handelt.

Ich bin kein Experte, aber wenn ich das Passwort meiner Google-Konten ändern muss. Sie sagen mir immer, dass das OTP an diese bestimmte Nummer gesendet wurde.

Ich habe verschiedene Handynummern. Und ich erinnere mich nicht, welche Telefonnummer ich auf einer Website verwendet habe. Einige alte Websites haben das OTP an die Telefonnummer gesendet, die ich jetzt nicht besitze. Dies ist dann ein Problem, wenn sie nicht angeben, an welche Nummer sie das OTP senden.

Daher würde ich empfehlen Wenn ich die Nummer zeige, die mit dem Konto verknüpft ist, dessen Passwort sie ändern möchten.

Endlich würde ich sagen, dass es Tausende von Sicherheitslücken gibt. Wir berücksichtigen sie jedoch nicht, da die Wahrscheinlichkeit des Eintretens gering ist und nicht die damit verbundenen Unannehmlichkeiten wert