SMS 2段階認証は廃止する必要がありますか？

Bruce Schenierがこの問題について話します here 。

記事を引用する。

ここでは、2つの新しいアクティブな攻撃が確認され始めています。

• 中間者攻撃攻撃者は偽の銀行のWebサイトを作成し、ユーザーをそのWebサイトに誘導します。ユーザーが自分のパスワードを入力すると、攻撃者はそのパスワードを使用して銀行の実際のWebサイトにアクセスします。正しく行われると、ユーザーは銀行のWebサイトにアクセスしていないことに気付くことはありません。次に、攻撃者はユーザーの接続を解除して、ユーザーが望む不正なトランザクションを実行するか、ユーザー自身のトランザクションと同時にユーザーの銀行取引を通過させます。
• トロイの木馬攻撃。攻撃者はユーザーのコンピュータにトロイの木馬をインストールします。ユーザーが銀行のWebサイトにログインすると、攻撃者はトロイの木馬を介してそのセッションに便乗し、必要な詐欺的なトランザクションを実行します。

二要素認証では何も解決されないのをご覧ください。最初のケースでは、攻撃者はパスワードの絶え間なく変化する部分を、変化しない部分とともに銀行に渡すことができます。 2番目のケースでは、攻撃者はユーザーのログインに依存しています。

2faの問題は、パスワードとotpの両方が盗聴されることです。または、単にパスワードが盗聴された後、ユーザーが「ここをタップしてログイン」プロンプトをタップします。どちらかが攻撃者を許可します。

defalt で述べたように。ユーザーを認証する（数学的に言えば）適切な方法は、yubikeyの セキュリティキー のように強力な相互認証を使用することです。

1）予見可能な将来とは何ですか？世界中のGSMプロバイダーがすべての脆弱性をすぐに修正し、テクノロジーを簡単にアップグレードすることは起こりますか？そして、もし彼らがこれを計画しないなら、私たちは何をすべきでしょうか？

ロックインのため、変更に非常に長い時間がかかります。 Ipv4は2010年までに死亡すると予測されていました。2019年には ipv6の使用量 は約25％です。ローリングコードは1980年代に作成されましたが、固定コードシステムは2019年にまだ出回っています。そのため、smsは今後も長い間使用されます。

あなたができる最善のことは、ウェブサイトが利用できる最も強力な認証を利用することです。個々のユーザーがそれ以上にできることはあまりありません。強力な認証を実装するかどうかは、Webサイト次第です。

2）インターネットの予見可能な未来とは-GOOGLE、BANKSなどすべてがSMS認証をすぐに廃止する傾向があります。そうしないと、それは起こりません。それでも、＃1の問題が引き続き発生します。 ？

GoogleとYubicoは、2つの方法でインターネットのユーザー認証のアップグレードに取り組んでいます。 1.ハードウェアベースのトークンを配信し、2。Webサーバーが webauthn を実装しやすくする。これら2つの方法は、実際には同じコインの異なる側面です。

3）そして最後の注意として、もちろん、私たちの現実では、2ステップ認証（SMSベース）は、ほとんどのハッカーからのセキュリティを向上させます（つまり、パスワードが盗まれた場合）が、現実は2を使用するユーザーであることが判明しました-step sms承認（または、2stepを使用しないが、回復方法として自分の携帯電話番号をプロファイルに入力した）は、セキュリティ上の脅威を増大させます-たとえば、ハッカーがパスワードを知らないが、smsをハッキングできる場合（代わりにセキュリティを強化した場合のハッカーの最初のカテゴリとは対照的です）。かなり問題の多いジレンマ。

チェーンは、最も弱いリンクと同じくらい強力です。誰かのアカウントを直接ハッキングしたり、アカウントを「復元」したりするほうが簡単な場合。攻撃者は気にしません。 Webサイトは、ユーザーを認証する強力な主要な方法と、回復を実装することを選択した場合に必要です。それも安全である必要があります。