web-dev-qa-db-ja.com

メールでOTPを受信することは、SMSで受信するよりも安全ですか?

電子メール経由でOTPを取得することと、SMSが2FAの最も弱い形式であることを理解していますが、これら2つが2FAの唯一のオプションである状況を考えると、電子メールはSMSより優れていますか?

(電子メール-むしろウェブメール-アカウント自体は、強力なパスワードと2FAで十分に保護されていると想定しています。)

関連:

  • 傍受するのはどれほど難しいかSMS(2要素認証)?
  • データベースリークにより、数百万の2要素コードが公開され、SMS- Ars Technica から送信されたリンクがリセットされます

    データベースは、2要素のコードと再送信されたリンクがほぼリアルタイムで送信されることを示すポータルを提供し、サーバーにアクセスした攻撃者が他のユーザーのアカウントを乗っ取るのに役立つデータを入手できる可能性があります。

4
muru

心配なのは、パスワードが漏洩した場合に2FAがあなたを保護することです。 2FAは、人々がそのパスワードを悪用するのを防ぐための緩和コントロールです。ただし、多くの場合、電子メールを含む複数のWebサイトでパスワードを再利用し、ほとんどの人は2FAでパスワードを保護しません。

これは、パスワードが漏えいした場合、テキストメッセージよりもあなたのメールアドレスから誰かがOTPを入手できる可能性が高くなることを意味します。

ハードウェアトークンとOTPジェネレータは、SMSまたは電子メールよりもはるかに好まれます。

5
Lucas Kauffman

SMSを介してOTPを受信するリスクは、攻撃者が電話会社に電話をかけ、SMSが電話にリダイレクトされるために送信される攻撃者が制御します。これは、攻撃者が被害者の携帯電話の電話番号とプロバイダーを知っていることを前提としています。OTPの送信者は電話の変更について通知されず、被害者は電話に気付かない可能性があるため、このリスクを軽減することは困難です。すぐに変更します。

電子メールでOTPを受信するリスクは、攻撃者が被害者の電子メールにアクセスできる可能性があることです。電子メールアカウントが十分に保護され、安全である(質問に記載されている)と仮定すると、このリスクは軽減されます。

1
ztk

これに簡単に答えるには、メールがハッキングされやすく、携帯電話のSMSをタップするのが難しいため、携帯電話からotpを取得し続けるようにお願いします。信頼できるリソースからアプリをインストールしないように携帯電話を保護し、さらに、SMSが安全でない場合は、携帯電話を誰にも渡さないでください。銀行は、今までそれらを使用していません。だから、私はあなたがSMSを使用することをお勧めします。これがお役に立てば幸いです。

0
bj_dinesh