Amerikansk myndighed: SMS-koder er for usikre til to-faktor-autentifikation

28. juli 2016 kl. 10:024
Der er for stor risiko for, at en sms-besked kan aflyttes eller opsnappes. Derfor bør engangskoder pr. sms udfases, lyder det fra den amerikanske standardiseringsorganisation NIST.
person
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
person

Sms-beskeder med en engangskode er udbredt til to-faktor-autentifikation, hvor man vil undgå, at blot brugernavn og adgangskode er nok til at få adgang til eksempelvis en e-mailkonto.

Men sms-beskeder er ikke tilstrækkeligt sikre, lyder det nu fra den amerikanske myndighed National Institute of Standards and Technology, NIST. Det skriver Techcrunch.

I et udkast til nye retningslinjer for autentifikationsløsninger fraråder NIST at bruge engangskoder leveret med sms-beskeder. Problemet med sms-beskeden er, at der ikke er yderligere kryptering, end den der findes på mobilnetværket.

Da det er muligt at sætte et mobilnummer til at pege på et IP-telefonisystem, så er det også på den måde muligt at opsnappe koden, hvis systemet er kompromitteret.

Artiklen fortsætter efter annoncen

Derfor vil NIST anbefale, at man kun sender sms-koder, hvis det er muligt at bekræfte, at telefonnummeret er tilknyttet en mobiltelefon på et mobilnetværk.

To-faktor-autentifikation er beregnet til at øge sikkerheden. Hvis man blot benytter et brugernavn og adgangskode, så er det muligt at overtage identiteten på brugeren, hvis man på én eller anden måde lærer kodeordet at kende.

Derfor er den mest brugte form for to-faktorautentifikation, at man også skal være i besiddelse af en fysisk genstand. Det kan være et papkort som til NemID, en hardware-nøglegenerator eller altså en mobiltelefon.

To-faktor-autentifikation med sms-beskeder øger sikkerheden betydeligt for løsninger som eksempelvis login til Google, Microsoft, Facebook eller Twitter, men den er altså ifølge vurderingen fra NIST ikke skudsikker.

Artiklen fortsætter efter annoncen

Jobs

Dine job
Vis alle

I stedet bør man udvikle løsninger som også kendes fra eksempelvis Facebooks kodegenerator, hvor en allerede kryptografisk verificeret applikation kan kommunikere via en krypteret forbindelse og få en sikker engangskode, lyder det fra NIST.

add
add
4 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
4
Povl Hansen
6. september 2016 kl. 11:38

Men det opdager man jo rimeligt hurtigt når ens egen telefon ryger af nettet

  • more_vert
    • insert_linkKopier link
3
Gert G. Larsen
3. august 2016 kl. 17:25

SMS var måske helt ok dengang man kun brugte koderne på en PC, og dengang mobilmalware ikke var et hit endnu. I dag virker det pænt gammeldags og sårbart. På linje med kodegeneratorer i apps osv

  • more_vert
    • insert_linkKopier link
2
Mogens Bluhme
1. august 2016 kl. 21:05

Det er en DRAFT fra NIST som går på, at SMS måske bør udfases - men det er på den lange bane.

Hvis en smartphone selv er devicet går SMS ikke, enig. Out of band authentication, dvs. på to forskellige netværk men på samme device, er sårbart. Hvis OS'et kan kompromitteres er der ikke noget at stille op.

Sandbokse/containere er ikke nogen garanti. Der er ingen bullet proof metoder til at opdage, om et device er jailbroken eller root'ed - kun indikatorer.

I drivere for kameraer og videoafspillere har man fundet sårbarheder, som gør privilegie-eskalering mulig uden at det kan opdages. Eksempelvis via en skjult SUID binær, som holder øje med log's. Hvis en log entry indikerer at brugeren er ved at læs en email dumper mailwaren heap og memory og rekonstruerer email ud fra disse og SMS ligeså - sådan bypasser man kryptering.

NIST foreslår deciderede apps som alternativ til SMS men det remedierer ikke de risici som i ovennævnte, når det er på samme device.

Men One Time Password (OTP) via SMS er også granulérbart som nævnt i artiklen. Mobiltelefonen skal være registreret, der skal være chain-of-trust til messageprovideren.

Derudover er der i konteksten forskellige checks, man kan lave :

Er den IP-adresse, hvor anmodningen kommer fra den samme, som indlogningen foretages fra? (gør man-in-the-middle sværere)

Er den challenge-baseret? (dvs. credentiels skal godkendes før der genereres et OTP).

Er den sessionspecifik?

Er det muligt at sende brugeren en notify om at han nu er ved at logge ind fra det sted, IP-adressen befinder sig?

Tidspunkt og brugerens loginmønstre bør også tages i betragtning, eventuelt bygget på en baseline over tid.

Bemærk hardware-baserede løsninger (enten klassiske tokens eller cloud keys) har fordele i ikke at være connected til noget netværk men også ulemper idet de må renouncere på at være challenge-baserede og sessionsspecifikke.

Så det er alt andet end trivielt at afgøre hvad der er mest sikkert.

Tre-faktor eller biometriske metoder kan måske gå hen og blive nødvendige.

  • more_vert
    • insert_linkKopier link
1
Jesper Nielsen
29. juli 2016 kl. 00:19

Engangskoder leveret via SMS er også sårbare overfor social engineering, hvor en angriber fx lokker målets teleselskabs kundeservice til at udlevere eller sende et nyt SIM-kort til en forkert adresse.

T-Mobile i USA var for nylig ved at hjælpe (sandsynligvis) Poodlecorp med at få adgang til H3H3's YouTube-kanal og andre sociale medier[1].

[1] https://www.youtube.com/watch?v=caVEiitI2vg

  • more_vert
    • insert_linkKopier link