I ricercatori della Princeton University si chiedevano se la messaggistica di testo SMS fosse un metodo di autenticazione sicuro da utilizzare come un fattore in una configurazione di autenticazione a due fattori (2FA). La risposta si è rivelata a clamoroso no, soprattutto quando il team ha iniziato ad attaccare i piani prepagati sui maggiori operatori di telefonia mobile.
Se un utente malintenzionato può ottenere il controllo di un numero di telefono trasferendo l'account di una vittima alla scheda SIM dell'attaccante, l'attaccante può quindi dirottare il processo di verifica che utilizza gli SMS ricevendo i messaggi di testo di autenticazione al posto della vittima. In dieci tentativi su dieci di rubare numeri da clienti prepagati su AT&T, Verizon e T-Mobile, i ricercatori sono stati in grado di trasferire l'account sulla propria carta SIM. I tentativi su Tracfone e US Mobile hanno avuto meno successo, ma questi operatori non erano completamente sicuri.
Verizon offre Pixel 4a per soli $ 10 / mese sulle nuove linee Unlimited
In alcuni casi, i ricercatori hanno chiamato cercando di rubare l'identità di un utente e il rappresentante del servizio clienti guidato loro alle risposte corrette di verifica dell'identità, o semplicemente ha dato l'accesso all'aggressore anche dopo aver indovinato in modo errato. I ricercatori hanno riscontrato vaste incongruenze, occasionali fallimenti nel verificare l'identità del tutto e in generale debolezza sufficiente nelle politiche di sicurezza per consigliare di evitare gli SMS come metodo di autenticazione della password del tutto. Da quando lo studio è stato rivelato ai vettori l'anno scorso, T-Mobile ha affermato di aver aggiornato i suoi metodi di verifica per evitare controlli meno sicuri.
Il rapporto suggerisce ai vettori di abbandonare tutti i metodi scadenti e insicuri attualmente in uso e di passare alla sicurezza metodi come una password / PIN dell'account o almeno un codice monouso inviato direttamente all'utente tramite SMS o e-mail. Molte delle attuali forme di identificazione come indirizzo, data di nascita e alcune informazioni sulla carta di credito possono essere trovate tramite ricerche di documenti pubblici. Le informazioni di identificazione, come la data dell'ultimo pagamento della vittima oi numeri di telefono dei chiamanti recenti, possono essere manipolate o contraffatte per ingannare i rappresentanti. Si consiglia inoltre ai siti Web di cessare di utilizzare gli SMS come parte di uno schema di autenticazione a più fattori.
Autenticazione a due fattori: tutto ciò che devi sapere
Hai ascoltato il podcast Android Central di questa settimana?
Ogni settimana, Android Central Podcast ti offre le ultime notizie tecnologiche, analisi e hot take, con co-host familiari e ospiti speciali.
- Iscriviti in Pocket Casts: Audio
- Iscriviti su Spotify: Audio
- Iscriviti in iTunes: Audio
Potremmo guadagnare una commissione per gli acquisti utilizzando i nostri link. Per saperne di più.
Questi sono i migliori auricolari wireless che puoi acquistare ad ogni prezzo!
I migliori auricolari wireless sono comodi, hanno un suono eccezionale, non costano troppo e stanno facilmente in tasca.
Tutto ciò che devi sapere sulla PS5: data di uscita, prezzo e altro.
Sony ha ufficialmente confermato che sta lavorando su PlayStation 5. Ecco tutto ciò che sappiamo finora.
Nokia lancia due nuovi telefoni Android One economici a meno di $ 200.
Nokia 2.4 e Nokia 3.4 sono le ultime aggiunte alla gamma di smartphone economici di HMD Global. Poiché sono entrambi dispositivi Android One, è garantito che riceveranno due importanti aggiornamenti del sistema operativo e aggiornamenti di sicurezza regolari per un massimo di tre anni.
Ecco le migliori custodie per il Galaxy S10.
Anche se non è il telefono più recente in circolazione, Galaxy S10 è uno dei telefoni più belli e scivolosi sul mercato. Assicurati di indossarlo con una di queste custodie.