web-dev-qa-db-ja.com

2番目の「古い」(ばかげた)電話は、「現代の」(スマートな)電話と同じくらい安全な銀行トークンの受け取り専用ですか?

古いスマートフォンは、auth-tokens /確認トークンに関しては、より安全/安全/最新のスマートフォンと同じくらい安全ですか?

SMSは暗号化されていますか?

8
Joelty

OpSecの観点からすると、専用の電話をまったく同じように扱う限り、2つ目の専用の電話(ダムまたはスマート)を使用することをお勧めします。

(銀行の電話番号が)あいまいであっても、Webを介した攻撃を受けにくくなり、セキュリティがわずかに向上するため、攻撃対象領域を最小限に抑えることができます。ただし、これはすべて、2台目の電話をどれだけうまく操作できるかにかかっています。

@schroederと@ ste-fuからの入力を使用して、その2番目の電話のOpSecを拡張するには:

  • バンキングには専用のSIMカード/電話番号を使用します(この番号は銀行以外には伝えないでください)
  • 閲覧には使用しないでください
  • 銀行以外の人とのメッセージング/通信には使用しないでください
  • (スマートフォン)アプリをインストールしないでください
  • 安全な場所に保管してください(特に、ロック画面保護のないダム電話(PIN /パターンなど)の場合)
  • (スマートフォン)ロック画面通知を無効にする/コンテンツを非表示にする
  • モバイルデータとWiFiを無効にする
  • 使用しないときは電源を切ってください。これは本当に必要なことではありませんが、OpSecを危険にさらすことから制限されます。人為的ミスは常に起こりえます。

2番目の質問に関して、SMSの傍受/暗号化について 優れた詳細な回答 を示します。

4

ほとんどの場合と同様に、状況によって異なります。 SMS 2要素認証の場合、答えは-ではありません

SMSデータを送信するネットワーク/ telcoは、スマートフォンでもダム電話でも同じです。ソーシャルエンジニアリングされたコールセンターの工作員は、許可することができます 関連する番号の乗っ取り または実際のネットワーク ハッキングされ、SMS傍受 される可能性があります。

特に機密性の高いアカウントをお持ちの場合、その1つのアカウントに一意のSIM /電話番号を持つダム電話を使用すると、そのアカウントは非常に困難になりますが、常に同じ番号を使い始めるとすぐに、すべてのアカウントに関連付けられる番号。

NISTは、SMS 2FAが非推奨になったというガイダンスを発表しました 彼らは少しバックトラックしましたが

3
ste-fu

ダム電話を使用すると、スマートフォンに存在する多くのセキュリティ問題が回避されます。私はスマートフォンをポケットコンピューターと見なし、デスクトップコンピューターのすべての脆弱性を備えています。

トークンを受け取るためだけに古い電話を使用すると、トークンを傍受して他の場所に送信できる実行中のプログラムがないため、トークンを保護します 。ただし、送信中のトークンは保護されません

電話会社はおそらく安全に対応していないので、転送中にトークンが傍受される可能性があるため、電話会社がだまされてサービスを別のユーザーに転送する可能性があります あまり検証なしSIMスワップ攻撃 )。暗号トレーダーは通常、この攻撃の標的になります。

可能であれば、トークンの受信にSMSを使用しないでください。私の銀行はトークンを送信したり、認証アプリから番号を取得したりできます。私は後者を使用しました。

1
ThoriumBR