セキュリティの専門家は、ユーザーがSMSベースの2FAシステムを使用することを常に推奨していません。通常、SIMスワップまたはMitM攻撃によって、認証コードが攻撃者に傍受されるおそれがあるためです。
このステートメントで私が目にする問題は、これらの攻撃はどちらも、対象となるサービスへの違反を目的とする特定のユーザーを対象とする攻撃に対してのみ本質的に実行可能であると感じていることです。昨年Redditに違反したような攻撃で、Reddit管理者がSMS 2FAトークンを傍受した。
自動化された方法で、または大規模にさえSIMスワップ攻撃を行うことはできません(電話プロバイダーに深刻な問題がない限り)。平均的なサイバー犯罪者には、MitMインターセプトに必要なリソースがありませんSMS都市、国、または大陸に広がる人々へのメッセージ。私がこれを解釈する方法、SMSを積極的に避けるべき唯一の人々-ベースの2FAシステムとは、特定の攻撃の対象になる可能性が高いシステムですが、その数はわずかです。
約100のアカウントを持っているが、パスワードマネージャーを使用していない(したがってパスワードを再利用できる)平均的なJoeについて考えてみます。彼は主要なサービスに特別なアクセス権を持っていません。彼はどこにも有名人のステータスも特別なユーザー名も持っていません。彼は、会社のコードベースや製品に特別なアクセス権を持たない、管理職以外の常勤従業員です。別の言い方をすれば、彼を特に狙った攻撃の標的になる可能性は低いでしょう。
この文脈で、ジョーはFacebook、Twitter、Google、Dropbox、Slack、Nestに使用するSMSベースの2FAに理論上の脆弱性があることを心配する必要がありますか?
「特別なアクセス権のない平均的なユーザー」の実際の概念はありません。攻撃者の観点からの主なポイントは、攻撃に必要な労力が攻撃の利益より少ないかどうかです。 「平均的なユーザー」でさえ、暗号ウォレットや貴重なTwitterアカウントを持っている可能性があります。時には重要ではないように見えるターゲットが、より貴重でより保護されたターゲットに対するより大きなデリバリーチェーン攻撃の最初のステップとしてハッキングされる場合のように、攻撃の利得もそれほど明白ではない場合があります。
成功した攻撃の例については、
多くのことと同様に、そこにはほんの少しの真実がありますが、全体としてそれは実際には問題ではなく、インシデントは完全に見通しの外で報告/認識されます。
ほとんどのものは、数か月ごとに起動し、他のすべてを完全に廃止するすべての新しいシステムを含め、通常、個人の経済的利益、教義、信念、およびヘビ油に基づいています。そのため、最近、SMS-TANは廃止されました。そして世界は止まりませんでした。
それが問題ではないと言う勇気はありますか?非常に現実的なセキュリティ違反がいくつかあります!
まず第一に、それはtwo要素認証です。つまり、SMSで送信されるTANの量は、マークがパスワードなどをまだ与えていない場合(通常、最初の要素です)にはまったく価値がありません。
最初の要素を提供しないと、SMSが送信されるようにトリガーすることさえできません。正当なアカウント所有者がそれをトリガーした場合、彼は現在ログの処理中ですつまり、彼はTLS接続を行っています。TANは何に対しても機能しませんが、トリガーされたアクションに対しては機能しないため、あまり役に立ちません。
私のSMSを盗聴?さあどうぞ。何をする? または銃を持っていない限り、キーボードから離れることができますor私のIPアドレスを偽装できますおよびTLSを覆しすぎて、接続を正常に引き継ぐことができます(実際、WTF?この脅威モデルで誰が防御しますか?)、できることはあまりありません。つまり、期待するべき合理的なものと、不合理なものがあります。 2kmの大きな流星が家にぶつかる可能性を防ぐ必要がありますか?誰かが私のTLS接続を引き継ぐことができる場合、私はSMSが傍受されるよりも深刻な問題を抱えています。
もちろん、そもそもあなたがSMS-TANを開始したのでない限り、つまり、私のパスワードをすでに知っている必要があります。
そのため、redditのシステム管理者は、管理者パスワードを提供したり、ソーシャルエンジニアリングが容易であるような、非常に悪いパスワードを使用していました。または、あからさまな顔-手のひら怖い何か、他のもの。彼が前の晩にバーで会った女の子を職場に連れて行って印象づけ、ログインして、立ち去ったのですか?何か?
うわー、明らかにSMSを傍受できることが問題でした!
SMS 2FAは他のすべての2FAと同じです。攻撃者が最初の要素を手に入れたら、それは少し余分なハードルです。それは多くはありませんが、何もないよりはましです。ランダムなターゲットに対するカジュアルな攻撃者にとっては、少しの追加で「実行可能」と「実行不可」の違いが生じます。たとえば、たまたま私のGoogleパスワードを知っていても、私の電話番号(または私が住んでいる場所)がわからない場合があります。それで、技術的な問題はさておき、私のSMSをどうやって傍受しますか?
2FAは断固とした攻撃者による標的型攻撃を阻止しますか?まあ、それはおそらくないでしょう。しかし、何でしょうか?私はいつでもあなたのガールフレンドを椅子に縛り付け、認証を行うまで指を切ってくれるところを見てもらいます。可能であれば、5要素認証にします。2本または3本以上の指を使用しません。
SMS-TANが安全でないことに基づいて、私の銀行はSMSを介してTANを、トランザクションの開始を許可する完全に安全でないカスタム作成アプリのペアに置き換えましたと確認済み、パスワードなどを入力する必要はありません。AndroidのバイオメトリAPIから「はい、OK」と伝えれば十分です。顔認識は簡単にだまされることが実証されています。
そうです、これは間違いなくTLS(Keepassに保存されている)経由でパスワードを入力する必要があるよりもはるかに優れており、安全ですそして、SMS経由でTANを受信することは、他の誰にとっても価値がありません。
簡単な真実は、SMS-TANの送信にはお金がかかり、その愚かな小さなアプリは...
「心配する必要がありますか?」技術的な質問ではありません。あなたは何でも心配することができます。情報セキュリティの目的では、特定の脅威を検討し、それらの確率とリスクをコストと不便さとのバランスをとることがより役立ちます。
あなたが尋ねることができる別の質問は、SMS 2FAは、クレデンシャルの大量採取に取り組んでいる(そして、たとえば、それらをダークネットに売りに出すなどして)取り組んでいる犯罪チームに対する十分な緩和策です)かどうかです。つまり、ええ、それはかなり良いことです。たとえ2FA SMSコードを取得できたとしても、数分間だけ有効であるため、再販価値はありません。したがって、資格情報を再販する犯罪ネットワークの条件としては、それはまともな緩和策であり、一種の脅威です。
別の種類の脅威は、個人としてリアルタイムで標的とする犯罪チームまたは悪意のあるユーザーです。そのシナリオでは、SMSは、あなたがすでに理解していると思う理由で完全に不十分です。必要なリソースがある場合、そのコードを取得するのは非常に簡単です。
つまり、 [〜#〜] nist [〜#〜] 、 [〜#〜] ffiec [〜#〜] 、 [〜#〜 ] pci [〜#〜] 、 ISO-27001 、およびその他のセキュリティ規制/コンプライアンス/ガイダンスはすべてSMS 2FAを支持してテクノロジーが進化するにつれて利用可能になる他のオプションの一部ですが、一般の人々は追いつくのに時間がかかります。実際、Gmailユーザーの90%はany2FA、securIDトークンはもちろんのこと! SMSの2要素認証は完璧ではありませんが、それでも使用する必要があります。 。
SMS 2FAはTOTPベースのMFAやハードウェアセキュリティキー(yubikeyなど)の使用ほど強力ではありませんが、使用しようとしている一般的な攻撃者に対してかなりの保護を提供します弱いパスワードまたは侵害されたパスワードの。
このステートメントで私が目にする問題は、これらの攻撃はどちらも、対象となるサービスへの違反を目的とする特定のユーザーを対象とする攻撃に対してのみ本質的に実行可能であると感じていることです。
[...]
自動化された方法で、または大規模にさえSIMスワップ攻撃を行うことはできません(電話プロバイダーに深刻な問題がない限り)。
[...]
平均的なサイバー犯罪者には、MitMインターセプトに必要なリソースがありませんSMS都市、国、または大陸に広がる人々へのメッセージ。
SIMスワップやMitMが常に必要なわけではありません。フィッシングのようないくつかの単純な攻撃はすでに自動化されており、 これは2FAコードにも適用されます です。
現在、この種の攻撃は、スマートフォン認証アプリのような他の種類のワンタイムパスワードをバイパスし、ログインプロンプトをバイパスする可能性もあります。ブラウザはドメインが正しいことを確認するため、Yubikeysのようなトークンベースの2FAによって停止されます。
また、誰かが電話ネットワークに侵入し、2FA SMSを捕まえるまでしばらく傍受している間に標的を絞った攻撃を実行することは不可能ではないと思います。