Når to-faktor-sikkerhed er overkill: Svar på spørgsmålene for at logge på

Det lyder som det The Daily WTF med rette har døbt "Wish-It-Was-Two-Factor"

http://thedailywtf.com/Articles/WishItWas-TwoFactor-.aspx

Ja det kan vi vist kun blive enige om. Og så bruger de det til banker.

Problemet er selvfølgelig at man stadig er ekstremt afhængig af sikkerheden på kundens device (PC/iPhoney/Android eller whatever)

Og når nu terminalen er ens telefon hvor meget 2-faktor er der så i SMS-engangskoder?

Meget sagligt at kalde iPhone for iPhoney (i øvrigt er det vel "phony" du mener?)

Ja vi husker ham der hackede Facebook brugere ved at svare på de såkaldte sikkerhedsspørgsmål med oplysninger han fandt i brugernes egne profiler.

Selv før Facebook var det en dårlig ide at bruge min mors pigenavn som kode. Det giver jo minimum hele min familie og en hel del bekendte adgang til min konto. For ikke at nævne hvor få bit entropi der er i det spørgsmål selv helt uden kendskab til personen. Hvad tænker de på?

Og nu sidestilles det pludselig med two factor. Helt ærligt.

Og når nu terminalen er ens telefon hvor meget 2-faktor er der så i SMS-engangskoder?

Faktisk en hel del.

2-faktor: Noget du ved (koden) og noget du har (telefonen).

Det er irrelevant at telefonen også er terminal. Det vigtige her er at du ikke kan komme på med en anden telefon selvom du kender koden.

Naturligvis er der svagheder, for eksempel kan man forestille sig en hacket telefon der logger koden, for derefter i baggrunden selv at logge ind inklusiv at programmet kan modtage SMS beskeden.

Det er analogt til nøglefiler som vi kender fra de gamle netbanker dog en lille tand sikre. En nøglefil kan hackeren kopiere over på hans egen PC. Med SMS løsningen er det nødvendigt at køre det hele via telefonen. Dertil kommer at malware til PC er meget almindeligt men stadig sjældent på telefonerne.

Konceptet gør det mere besværligt for både brugeren og angriberen.

Det ene udelukker ikke det andet og når dagen er omme er ROI nemt at opgøre ...

/Peter

Kodeord direkte på SMS eller via en mobil applikation er vel ikke meget sikrere, bare fordi koden bliver leveret i en anden æske. Det svarer kun til at sende den via to forskellige email-konti. Min udenlandske netbank bruger princippet, og her kører jeg et fake mobilnummer i en browser, afhenter SMSen fra min pc og kører java-applikationen via en emulator. "Sikkerhed" er nem at overliste, og fra min i øvrigt sikrede hjemme pc foretrækker jeg bekvemmelighed...

Kodeord direkte på SMS eller via en mobil applikation er vel ikke meget sikrere, bare fordi koden bliver leveret i en anden æske

Koden bliver leveret på en alternativ kanal. Det er et gammelt princip i sikkerhed.

Jeg ved ikke hvad du mener med et fake mobilnummer. Under alle omstændigheder er der mange måder du kan ødelægge sikkerheden for dig selv, og en hel del af måderne vil være ansvarspådrivende hvis der sker misbrug. Men det er op til dig.

Når nogen tilbyder mig sikkerhed forsøger jeg at bruge den korrekt. Fordi identitetstyveri af enhver art er noget af det værste man kan komme ud for.

Koden bliver jo netop ikke leveret på en alternativ kanal til mig, men gennem min browser. Jeg gør det af bekvemmelighed, men når jeg så nemt kan finde en omvej, kan den klogere tyv endnu nemmere automatisere sit angreb.
Mit kunstige mobilnummer var nødvendigt, da systemet ikke kunne bruge de korte danske numre. Et sådant nummer kan oprettes på internettet uden ID, og er altså ikke et ekstra lag sikkerhed.
Egentlig er det jo ikke mig, der undergraver sikkerheden her - det er systemet, der tilbyder mig falsk sikkerhed.

Hvordan har du tænkt dig at få adgang til min kode, som jo altså ikke bliver sendt til et såkaldt kunstigt nummer?

Det er som om du forsøger at argumentere at når du kan snyde med din egen sikkerhed, så kan tyven på en eller anden måde også gøre det. Men det er jo ikke tilfældet.

Systemet tilbyder dig god sikkerhed. Det er netop dig der vælger at undergrave det ved at benytte en tjeneste der omgår sikkerheden, men heldigvis går det kun ud over din egen sikkerhedssituation. Os andre der vælger at bruge systemet rigtigt har stadig god sikkerhed.

Hvad jeg skrev var at kodeord via en mobil ikke er sikrere, bare fordi koden bliver leveret i en anden æske. Det svarer til at sende den via to forskellige email-konti, som jeg ganske rigtigt begge skulle kende og bryde ind i for at få adgang. Mobil-kodeordet giver dig blot en øget illusion om sikkerhed, men kunne lige så godt og sikkert erstattes af to emailkonti. Og det er illusionen, jeg beklager mig over.

Det svarer til at sende den via to forskellige email-konti

Nej det gør ej. Email-konti kan du tilgå fra en vilkårlig maskine. Det kan godt være at du har fundet en måde at snyde på, så du kan læse SMS på en vilkårlig maskine, men det normale er altså at man skal have adgang til telefonen for at læse SMS beskeden.

Meningen med SMS beskeden er at checke at du er i fysisk besiddelse af telefonen.

Baldur, vi kommer vist ikke længere. Jeg "snyder" ikke, jeg bruger blot på legal vis og for nemheds skyld de samme muligheder, som tyvene har. Og to email-konti ville give en lignende to-faktor-sikkerhed.
De SMS-beskeder jeg modtager, tjekker ikke for IMEI eller SIM-kort, og er altså ligeglade med en fysisk mobil. Begge dele kan i øvrigt emuleres og indstilles fra computerens "mobil", så den sikkerhed ville også være hul.
Pointen er fortsat, at når jeg så nemt kan omgå dette, er det særlige ved at inddrage mobilen blot en illusion. Så skal vi ikke stoppe her...

jeg bruger blot på legal vis og for nemheds skyld de samme muligheder, som tyvene har.

Det passer jo ikke. Tyve har ingen muligheder for at stjæle SMS beskeder til min telefon.

Hvis du kender en metode, så du uden min accept kan læse med på mine SMS beskeder, så er jeg da vældig nysgerrig for at høre om det. Det tror jeg også andre er. Så fortæl endelig.

Du slipper lidt for nemt uden om disse vilde påstande hvis du "stopper her".

Pointen er fortsat, at når jeg så nemt kan omgå dette, er det særlige ved at inddrage mobilen blot en illusion. Så skal vi ikke stoppe her...

Tom - som jeg forstår dit set-up, så har du bevidst fravalgt 'noget' som måske og måske ikke forøger din sikkerhed.

Lad os antage at du ikke havde gjort det. Hvordan ville modpaten få oplysningen om hvilken destination sikkerhedsbeskeden ville blive sendt til?

Jeg antager at hver af disse SMS beskeder er unik, kun gyldig til en transaktion eller login

Hvis du kender en metode, så du uden min accept kan læse med på mine SMS beskeder, så er jeg da vældig nysgerrig for at høre om det. Det tror jeg også andre er. Så fortæl endelig.

Hvis ikke du skal opdage temmelig hurtigt at der er noget galt, så skal det vel også forhindres at du modtager beskeden?

Hvis beskeden også indeholder et løbenummer, så vil der vel også være et spor der til at udløse mistænksomhed hos den opmærksomme bruger

Jeg tror du hidser dig op over noget helt andet, end jeg skriver. Selvfølgelig kan tyve læse dine SMSer - hvis de har hugget din mobil. Personalet hos dit mobilfirma kan læse med, politiet gør det også ved mistanker - og jeg kunne teknisk set også gøre det. Det ville dog kræve et minuts tid sammen med din mobil, hvor jeg uset kopierer dit SIM-kort - mens du er på lokum og har efterladt mobilen på bordet. Spørg tyvene, hvis du vil kende andre metoder - jeg er mere interesseret i sikkerheden.

Jeg er blot et legebarn, der afprøver de tekniske muligheder for at finde sjove løsninger. Jeg oprettede selv et fiktivt "mobilselskab" på min computer, et relativt simpelt hjemmeskrevet program, der modtog MMSer fra de ægte selskaber. Denne mekanik gjorde det muligt at sende live-tv på nettet fra enhver mobil, lang tid før den slags blev mere moderne. Og jeg var den første, der bandt computer og mobil sammen med den teknik, det i dag hedder Twitter. Men jeg er langt fra nogen ekspert - jeg ved bare, at der er kriminelle derude med langt større viden, og at mulighederne er store for dem.

Og nej, jeg hverken kan eller vil bryde ind i din webbank. Og jeg sætter faktisk pris på, at min kortudbyder har tilføjet et ekstra kodeord til webbetalinger. Ind til videre er også dette mest en illusion, da det endnu ikke er gjort obligatorisk.

Personalet hos dit mobilfirma kan læse med, politiet gør det også ved mistanker

Personalet hos teleselskabet samt personalet hos Google har muligheder som andre ikke har. Politiet kan altid komme ind med dommerkendelse. Det er ikke dem vi beskytter imod.

Forklar mig hvordan en kineser får fat i SMS beskeden. Han er i Kina og det er jeg ikke, så hvordan kopierer han lige mit SIM kort? (hvis vi en kort stund ignorerer problemerne der er ved at kopiere SIM kort)

Kineseren har hacket min computer og har afluret mit kodeord. Men to-faktor systemet beskytter mig så at det stadig er umuligt for denne tænkte kinesiske hacker at opnå adgang til min email.

Jeg bad dig ellers spørge tyvene for yderligere tips, men her er alligevel et eksempel.
Du har just fået dig en fin ny Iphone, og går til deres appstore. Her køber du et nyt spændende spil, der tilfældigvis indeholder en trojansk hest. Og hesten sender alle relevante data hjem til kineseren, når du fx henter mail og går på netbank. Kineseren har tusindvis af automatiske angreb kørende, og skal blot vente på det tidspunkt, hvor hans programmer fortæller ham, at der er nok oplysninger hentet til et angreb på lige netop dig.
Det er også andre gode grunde til at ikke kun undertegnede, men også Datatilsynet ikke opfatter SMS som sikre - og nu logger jeg selv ud af denne tråd for i dag.

Forstår du ikke at kineseren så skal installere en trojansk hest på både min PC og min telefon (*)? Det er i sagens natur meget sværere end at nøjes med at hacke en af mine enheder.

Se i øvrigt mit oprindelige indlæg under svagheder ved systemet. Det er ikke et usårligt system, men det er en hel del sikre.

(*) ja, hvis du bruger telefonen som terminal kan han bryde systemet ved kun at hacke telefonen. Det er beskrevet tidligere i tråden. Det er reelt kun bedre hvis man bruger en PC til login og telefonen kun til at læse SMS beskeden.