Amerikansk myndighed: SMS-koder er for usikre til to-faktor-autentifikation

Illustration: leowolfert/Bigstock
Der er for stor risiko for, at en sms-besked kan aflyttes eller opsnappes. Derfor bør engangskoder pr. sms udfases, lyder det fra den amerikanske standardiseringsorganisation NIST.

Sms-beskeder med en engangskode er udbredt til to-faktor-autentifikation, hvor man vil undgå, at blot brugernavn og adgangskode er nok til at få adgang til eksempelvis en e-mailkonto.

Men sms-beskeder er ikke tilstrækkeligt sikre, lyder det nu fra den amerikanske myndighed National Institute of Standards and Technology, NIST. Det skriver Techcrunch.

I et udkast til nye retningslinjer for autentifikationsløsninger fraråder NIST at bruge engangskoder leveret med sms-beskeder. Problemet med sms-beskeden er, at der ikke er yderligere kryptering, end den der findes på mobilnetværket.

Da det er muligt at sætte et mobilnummer til at pege på et IP-telefonisystem, så er det også på den måde muligt at opsnappe koden, hvis systemet er kompromitteret.

Derfor vil NIST anbefale, at man kun sender sms-koder, hvis det er muligt at bekræfte, at telefonnummeret er tilknyttet en mobiltelefon på et mobilnetværk.

To-faktor-autentifikation er beregnet til at øge sikkerheden. Hvis man blot benytter et brugernavn og adgangskode, så er det muligt at overtage identiteten på brugeren, hvis man på én eller anden måde lærer kodeordet at kende.

Derfor er den mest brugte form for to-faktorautentifikation, at man også skal være i besiddelse af en fysisk genstand. Det kan være et papkort som til NemID, en hardware-nøglegenerator eller altså en mobiltelefon.

To-faktor-autentifikation med sms-beskeder øger sikkerheden betydeligt for løsninger som eksempelvis login til Google, Microsoft, Facebook eller Twitter, men den er altså ifølge vurderingen fra NIST ikke skudsikker.

I stedet bør man udvikle løsninger som også kendes fra eksempelvis Facebooks kodegenerator, hvor en allerede kryptografisk verificeret applikation kan kommunikere via en krypteret forbindelse og få en sikker engangskode, lyder det fra NIST.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (4)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Jesper Nielsen

Engangskoder leveret via SMS er også sårbare overfor social engineering, hvor en angriber fx lokker målets teleselskabs kundeservice til at udlevere eller sende et nyt SIM-kort til en forkert adresse.

T-Mobile i USA var for nylig ved at hjælpe (sandsynligvis) Poodlecorp med at få adgang til H3H3's YouTube-kanal og andre sociale medier[1].

[1] https://www.youtube.com/watch?v=caVEiitI2vg

  • 1
  • 0
#2 Mogens Bluhme

Det er en DRAFT fra NIST som går på, at SMS måske bør udfases - men det er på den lange bane.

Hvis en smartphone selv er devicet går SMS ikke, enig. Out of band authentication, dvs. på to forskellige netværk men på samme device, er sårbart. Hvis OS'et kan kompromitteres er der ikke noget at stille op.

Sandbokse/containere er ikke nogen garanti. Der er ingen bullet proof metoder til at opdage, om et device er jailbroken eller root'ed - kun indikatorer.

I drivere for kameraer og videoafspillere har man fundet sårbarheder, som gør privilegie-eskalering mulig uden at det kan opdages. Eksempelvis via en skjult SUID binær, som holder øje med log's. Hvis en log entry indikerer at brugeren er ved at læs en email dumper mailwaren heap og memory og rekonstruerer email ud fra disse og SMS ligeså - sådan bypasser man kryptering.

NIST foreslår deciderede apps som alternativ til SMS men det remedierer ikke de risici som i ovennævnte, når det er på samme device.

Men One Time Password (OTP) via SMS er også granulérbart som nævnt i artiklen. Mobiltelefonen skal være registreret, der skal være chain-of-trust til messageprovideren.

Derudover er der i konteksten forskellige checks, man kan lave :

Er den IP-adresse, hvor anmodningen kommer fra den samme, som indlogningen foretages fra? (gør man-in-the-middle sværere)

Er den challenge-baseret? (dvs. credentiels skal godkendes før der genereres et OTP).

Er den sessionspecifik?

Er det muligt at sende brugeren en notify om at han nu er ved at logge ind fra det sted, IP-adressen befinder sig?

Tidspunkt og brugerens loginmønstre bør også tages i betragtning, eventuelt bygget på en baseline over tid.

Bemærk hardware-baserede løsninger (enten klassiske tokens eller cloud keys) har fordele i ikke at være connected til noget netværk men også ulemper idet de må renouncere på at være challenge-baserede og sessionsspecifikke.

Så det er alt andet end trivielt at afgøre hvad der er mest sikkert.

Tre-faktor eller biometriske metoder kan måske gå hen og blive nødvendige.

  • 0
  • 0
Log ind eller Opret konto for at kommentere