web-dev-qa-db-ja.com

最近のSS7攻撃を受けて、2FA以上SMSは安全でないと見なされますか?

SS7に関連する設計上の欠陥はかなり以前から知られていましたが、電話会社は、攻撃を実行するために必要な多大な投資のためにリスクが低すぎるという主張を都合よく破棄しました。しかし、ハッカーが実際にSS7攻撃を実行して2FAを迂回し、資金を吸い上げたという最近のニュースを考慮すると、これらの攻撃への投資のリターンがコストをカバーすることは明らかです。

アプリケーション開発者とペンテスターとして、SMSベースの2FAを弱点と見なす必要がありますか?

7
hax

NISTデジタルIDガイドライン の最新ドラフトでは、SMSによる2要素認証の使用が廃止されています。

Google Authenticator(または同様のテクノロジー)を利用して2FAを進め、SMS帯域外検証に基づいて破棄することをお勧めします。

5
DKNUCKLES