SMS'er er for usikre til to-faktor-autentifikation: For nemt at få et nyt sim-kort

Der kan også connectes via NFC men Apple tillader (ikke længere) 3.part's brug af det på IOS-devices. Det devaluerer gevaldigt værdien

Enig

Desværre er IOS brugere skruet lidt underligt sammen.

Det burde jo være værdien på apple produktet som blev devalueret fordi folk fravalgte det fordi har en mangel, men desværre ser alt for mange apple device brugere verden som om alt drejer sig omkring deres i-device og på nærmest religiøst/bibelsk vis meddeler at kan et i-device ikke det, så er det fordi man slet ikke skal kunne.

Hvis apple tabte markedsandele fordi folk fravalgte i-devices fordi der mangler en ordentlig NFC understøttelse, så ville apple nok ende med at se lyset og åbne op for deres NFC chip.

Det har længe været tid til, at skrotte SMS som 2 faktor validering – ikke kun pga. simkort.

Nu kan jeg desværre ikke finde det helt specifikke klip, men jeg mindes, at jeg så et program hvor de viste, at det var muligt at opsnappe SMS på Android telefoner også uden, at brugeren blev gjort opmærksom på, at telefonen havde modtaget en SMS. Det tætteste som jeg har kunnet finde er denne fra DR:

https://www.dr.dk/nyheder/viden/tech/video-saadan-stjaeler-apps-dine-private-smser#!/03:35

Her skal brugere bare installere en app på sin Android telefon og så kan man jo læse med.

Brugeren vil jo opdage at teleselskabet har aktiveret et nyt simkort til nummeret, idet et nummer jo kun kan have et simkort tilknyttet ad gangen. Hvorimod en App som har læse adgang til beskeder ikke lige så let vil blive opdaget, idet der ikke er nogle synlige tegn på det. Her er det også lettere at ramme flere personer på en gang.

@Mogens Bluhme: Apple har aldrig haft åbent for NFS til 3 part. Det kommer vist i iOS 11, som kommer til efteråret. kilde: https://www.macrumors.com/2017/06/07/developer-access-iphone-nfc-chip-ios-11/

Der kan også connectes via NFC men Apple tillader (ikke længere) 3.part's brug af det på IOS-devices. Det devaluerer gevaldigt værdien (bluetooth er et ringere alternativ).

Apple's motiver til dette tiltag har jeg lidt svær ved at gennemskue. Hvis jeg skal være rigtig paranoid er det fordi de vil sætte sig/låse deres brugere på området for betalingsløsninger. Men med NFC's rige anvendelsemuligheder virker det ude af proportioner. Det svarer til at en tyv bevidst ødelægger for 1 million for at løbe med en gevinst på 100 kr.

Så også hellere at folk brugte/tilbød mulighed for TOTP/HOTP der er standard baseret, så man kan bruge en authenticator af eget valg (det kunne f.eks væres google's / microsoft's / authy / eller en af de mange andre der bygger på standarderne), frem for SMS der ofte ikke kommer frem i tide / hvis overhovedet nogle gange.

Men det største problem er nu den general mangel på 2FA på diverse kritiske sider, f.eks paypal som nævnt i artiklen, de har 2FA i USA (men ikke for danske konti....).

Kan anbefale:https://twofactorauth.org/#

Det site giver et godt overblik over hvem der understøtter 2FA.

Giv folk valgmuligheder istedet for one size fits all løsninger, ville langt hellere have en authenticator på min mobil end intet 2FA, eller skulle rende rundt med 20 forskellige kode kort / hw tokens.

Sikkerhedsnøgler, såsom yubikey er super nemme at anvende.. De kan enddog bruges (til få af dens features) på android - og man kunne fikse det, så de virkede ligeså godt i en telefon som i en computer. Yubikey (som jeg selv anvender - men der findes masser af andre producenter) - opbevarer en gpg nøgle og laver al signering, certificering og authentikering på kortet. Det kræver bare du kan pinkoden til yubikey'en - for at anvende den.

Den kan du anvende i en kompromiteret computer (eller tlf.) - og de kan stadigvæk ikke stjæle din 2FA. med yubikey kan man slå "touch" til - så man SKAL fysisk røre yubikey'en - for at den gør noget somhelst (mange lader den bare sidde ulåst i computeren - og så kan man jo misbruge den i den tid hvis man har hacket computeren).

Vi udleverer den ihvertfald til vores medarbejdere, som deres 2FA..

Og ellers så er der jo også mange der bruger RSA nøgler (6 tal man skal indtaste - lidt a la NemID nøglekort :) - det er bare meget dyrere :)

2FA står for en-cifrede % af logons. Hvis vi bare kunne få folk til at bruge 2FA i det hele taget ville sikkerheden for den almindelige bruger med genbrugt password hæves væsentligt. Så er det fløjtende ligegyldigt om det er via SMS eller app.

Kom nu alle sammen, opfind et kreditkort med numerisk tastatur og display. Det skal kunne lade sig gøre i 2017. Højst 50% tykkere end et normal kreditkort, please.

Efterhånden som telefon og PC smelter mere og mere sammen, så kan PC'en f.eks. også bede Google App Store om at installere en app på telefonen.

Der var et vindue på måske 10 år hvor det var sikkert at bruge SMS. Det sluttede da hullerne i GSM og SS7 lidt for nemme at udnytte. Derefter var der vel ca. 5 år hvor det var nogenlunde sikkert at bruge en nøgle-app. Det er slut nu.

Kom nu alle sammen, opfind et kreditkort med numerisk tastatur og display. Det skal kunne lade sig gøre i 2017. Højst 50% tykkere end et normal kreditkort, please.

To-faktor bør være på et andet device end der hvor login sker. Og da mobile enheder bruges til mere og mere, virker det lidt vovet at anvende dem til to-faktor-delen i det hele taget. Det gav OK mening, dengang vi sad foran en "PC'er" og havde vores mobiltelefon som lommeudstyr til telefonopkald og SMS. - og der praktisk talt ikke var malware til telefonerne. I dag er det smeltet så meget sammen, at to-faktor bør ske via noget helt andet. En Yubikey, et papkort, en RSA-token. Noget der er offline.

"Sonofon, godaften. Der står en her, og siger dit simkort er blevet væk. Men det er jo ikke rigtigt, kan jeg høre."

Eller en form for automatisk kontrolfunktion, der kontrollerer om telefonen har været i brug, så kan der ikke skiftes kort uden ekstra manuelle kontroller, og måske en karenstid, hvor den rigtige ejer har tid til at melde tilbage.

Men med tilstrækkeligt mange svindlere og tilstrækkeligt med dårligt underviste, og entusiastiske medarbejdere, skal det nok lykkes at få et kort byttet i ny og næ.

Er teleselskabet ansvarlige for tab?

Det er vel en afvejning: skal teleselskabet betale erstatninger eller udviklere?

2-faktor via app er ikke mere sikker end simkort. Nu vil jer ikke poste et link til en C2 server med adgang til +10.000 rootede smartphones, meeeen de findes.

Det er immervaek mere besvaerlig at faa tilsendt eller gaa ned i butikken og faa et nyt simkort end at roote en bunke smartphones. Du opdager ogsaa ret hurtigt at dit nuvarende SIM-kort stopper med at virke.

Der hvor den virkelige trusel er mod SMS-2 faktor er SS7 hacking. Altsaa infrastrukturen bag mobilnetet. Hvor man faar adgang til SMS, voicemail eller direkte aflytning af mange mobiltelefoner paa samme tid.

Generelt skal man taenke i stordriftsfordele naar man taenker hacking. Med mindre det er Putin, Trump eller Bibi, du har pisset af.

Saa skal du smide alt dit elktronik ud og gemme dig midt inde i Rold skov, grave et hul du kan hoppe i naar du hoerer lyden af en drone eller Tupolev.

Det er alt for nemt at få udleveret et nyt simkort til en anden persons mobilnummer, og det bør få os til at overveje, om det er en god idé at benytte engangskoder via sms til to-faktor-autentifikation.

https://tools.ietf.org/html/rfc6238