web-dev-qa-db-ja.com

2段階認証(SMSを使用)は、2要素をまったく無効にするよりも安全性が低くなります。

私はこの問題について考えていて、逆説的な真実を見つけました。 [〜#〜] sms [〜#〜]を使用して2段階認証を行うサービスを持つことは、より有害で脆弱なホールを開く可能性があります(読み取り- SMSが傍受される可能性があります )。そのため、2-FAをまったく使用せずに留まることをお勧めします。

Google、FBまたはその他の主要なサービスの例

2ステップSMS認証では、プロファイルに電話番号を設定する必要があります。これらの番号は通常回復方法として使用されます。したがって、攻撃者があなたのパスワードを持っていないが、GSM/SMSを傍受できる場合、攻撃者はより危険です。 「password recovery」をクリックして、ウェブサイトにパスワードをリセットするよう強制するSMSコードをリセットすることができます。

もちろん、これは「まれな」機会であると言う人もいますが、ターゲットがしっかりしていて攻撃者が初心者でない場合、これはかなり可能性のあるルートになります。

3
T.Todua

認証の複数の要素を持つことは、それらの要素のいずれかを分離するよりも常に安全です。

SMSメッセージからのパスワードとトークンは、パスワードまたはSMSを介して送信されるトークンだけよりも、攻撃者が迂回することは困難です。

ただし、SMS自体は現在、最も安全性の低い認証方法と見なされており、より安全にする方法はないようです。唯一の認証方法として使用することはできません。

ユーザーの知らないうちに、人の携帯電話番号を別のデバイスに再割り当てすることができます。これは、技術サポート担当者に対するソーシャルエンジニアリング、または任意の携帯電話ストアの悪意のある(賄賂の)エージェントによって実行できます。

たとえば、パスワードのリセットを目的としたアカウント所有権の検証がSMSメッセージングによってのみ行われる場合、攻撃者が電話番号を自分の電話に再割り当てできる場合、両方の要因を制御できます。 Googleや他のいくつかの大規模サイトでは、アカウント所有者にメールを送信するなど、これを防ぐための追加の手順があります。ただし、これは、過去に数百万ドル相当のビットコインを含むいくつかのアカウントを失うことの根拠となっていますオンラインエクスチェンジやウォレットサイトを利用するユーザーから盗まれた。

7
Ghedipunk
  1. SMSにアクセスすることは、パスワードにアクセスするよりもはるかに複雑です。そのため、SMSに基づいてパスワードをリセットすることが可能なサイトでも、パスワードよりも安全です。

  2. パスワードをハッキングするにはどうすればよいですか?たとえば、コンピューターにマルウェアがあり、パスワードデータベースを読み取ることができるため、Webサイト、ユーザー名、パスワードを知っている場合があります。ハッカーはあなたについて事前に何も必要としません。あなたはハックのランダムな犠牲者です。傍受する場所SMSは、どのサイトおよびどのユーザー名を使用するかについての情報を提供しません。そのため、SMSメッセージをハッキングすると、ハッカーがあなたのサイトを知っている場合にのみセンスが生じますとユーザー名を事前に入力します。これは、ハッカーがランダムな人物だけでなくあなたをハッキングしたい場合を意味します。ただし、smb。があなたをハッキングしたい場合は、家や家に設置された特別なハードウェアなどのより深刻な対策も期待できます。車だと、どうしてもチャンスはほとんどありません。

0
mentallurg