web-dev-qa-db-ja.com

Duo MFAはSIMスワップエクスプロイトに対して脆弱ですか?

私は約1000人のグループのMFAオプションを検討しています。 Duo は興味深いですが、テキストメッセージングを組み込んだものを快適に実装できるかどうかはわかりません(パスコードされたアプリとOTPしか持たない WiKID とは対照的です)。 。

DuoがSIMスワップ攻撃を軽減するためにプラットフォームをどのように設計したか知っている人はいますか?アプリケーション自体に組み込まれた認証メカニズムは確かに強化できますが、それに伴う「フォールバック」SMSもの)はかなりあるようです。

3
Server Fault

Duoを使用すると、管理パネルのSMSフォールバックオプションを無効にすることができます(これは、実際に無効にすることを確認するためにこれをテストしていないドキュメントによると)。プッシュがオプションの場合、私はそれをお勧めします(ユーザーに、二重のプッシュ通知を受け取るようにトレーニングし、これが悪質なアクティビティの兆候になる可能性があることを確認してください)以下のドキュメント。

https://duo.com/docs/administration-settings#restricting-authentication-methods

1
DarkMatter