像许多事情一样,那里有一点点真相,但总体而言,这在实践中不是问题,而且事件的报道/感知完全不合时宜。
大多数东西,包括每几个月出现的每一个新系统,以及完全过时的所有东西,通常都是基于个人的经济利益、教条、信仰和蛇油。所以,最近,SMS-TAN 被淘汰了。世界并没有停止。
我怎么敢说这不是问题?有一些非常真实的安全漏洞!
首先,它是两因素身份验证。这意味着如果标记尚未泄露其密码等(这通常是第一个因素),那么在 SMS 中发送的任何数量的 TAN 都是完全没有价值的。
如果不提供第一个因素,您甚至无法触发要发送的 SMS。如果合法帐户所有者触发了它,那么他当前正在登录过程中,即他正在进行 TLS 连接。TAN 除了针对任何一个触发它的动作外,其他任何东西都不起作用,因此它实际上并没有多大用处。
你偷听我的短信?好吧,继续吧。你会怎样做?除非你也有枪,所以你可以强迫我离开键盘,或者你可以欺骗我的 IP 地址并破坏 TLS 以至于你可以成功接管连接(真的,WTF?我们在谁防御这种威胁模型?),您无能为力。我的意思是,有合理的事情可以期待,也有不合理的事情。我是否需要防范 2 公里大的流星撞击我家的可能性?如果有人可以接管我的 TLS 连接,那么我遇到的问题比 SMS 可拦截更严重。
当然,除非是您首先发起了 SMS-TAN,这意味着您必须已经知道我的密码。
因此,reddit 系统管理员泄露了他的管理员密码,或者使用了一个非常糟糕的密码,以至于很容易进行社交工程。或者,其他一些完全令人恐惧的东西,无论如何。把他前一天晚上在酒吧遇到的一个女孩带到他的工作场所给她留下深刻印象,然后登录然后走开?之类的?
哇,很明显,SMS 可以被截获是问题所在!
SMS 2FA 与其他所有 2FA 相同。攻击者一旦有了第一个因素,就必须采取一些额外的障碍。虽然不多,但总比没有好。对于随机目标上的随意攻击者来说,这点额外的东西会在“可行”和“不可行”之间产生差异。例如,您可能会偶然知道我的 Google 密码,但您不知道我的电话号码(甚至我住的地方)。所以,抛开技术上的困难,你打算怎么截取我的短信呢?
2FA 会阻止坚定的攻击者进行的有针对性的攻击吗?嗯,不,它可能不会。但是会怎样?我总是可以把你女朋友绑在椅子上,让你看着我砍断手指,直到你进行身份验证。如果愿意,可以进行五因素身份验证,它不会超过两三个手指。
基于 SMS-TAN 不安全,我的银行通过 SMS 用一对完全不安全的定制应用程序替换了 TAN,这将允许发起和确认交易,而无需输入密码等。Android 的生物识别 API 告诉它“是的,好的”就足够了。事实证明,面部识别很容易被欺骗。
所以,是的,这绝对比通过 TLS 输入密码(存储在 Keepass 中)和通过 SMS 接收 TAN 更好、更安全,这对其他人来说毫无价值。
一个简单的事实是,发送 SMS-TAN 是要花钱的,而那个愚蠢的小应用程序不会......