在最近的 SS7 攻击之后,是否应该将基于 SMS 的 2FA 视为不安全?

信息安全 电话 ss7
2021-09-04 10:57:29

我们已经知道与 SS7 相关的设计缺陷已经有一段时间了,但电信公司很方便地放弃了这样的论点,即由于执行攻击所需的大量投资,风险太低了。但考虑到最近有消息称,黑客进行了真实世界的 SS7 攻击以绕过 2FA 并抽走资金,很明显,这些攻击的投资回报将弥补成本。

作为应用程序开发人员和渗透测试人员,我们是否应该将基于 SMS 的 2FA 视为弱点?

1个回答

NIST 数字身份指南的最新草案不赞成通过 SMS 使用双因素身份验证。

我建议使用 Google Authenticator(或类似技术)来促进 2FA 的发展,并放弃基于带外验证的 SMS。

其它你可能感兴趣的问题
上一篇iOS 11.1 是否仅针对 iPhone 7 和更新版本修复了 KRACK? 下一篇Wireshark 无法解密 WPA2 LAN 流量