Image
20.10.2016 1 Comments

Americký úrad navrhuje zakázať dvojfaktorovú autentizáciu založenú na SMS. Nie je bezpečná

Americký Národný inštitút pre štandardy a technológie (NIST) navrhuje, aby všetky on-line služby upustili od dvojfaktorovej autentizácie založenej na SMS. Podľa návrhu Digital Authentication Guideline 800-63B je takéto overovanie zastarané a málo bezpečné. Namiesto neho by sa mali používať tokeny a softvérové kryptografické autentizátory (mobilné aplikácie, ktoré generujú jednorazové kódy).

Keďže overovacia SMS pri pokuse prihlásiť sa na on-line účet nemusí byť doručená na konkrétny telefón, ale ju možno presmerovať na službu VoIP, dvojfaktorová autentizácia pomocou SMS trpí zraniteľnosťou. Technikou tzv. VoIP hijackingu možno dosiahnuť, že overovacia správa sa nedostane na telefón vlastníka účtu, ale na zariadenie, ktoré patrí útočníkovi.

Druhá možnosť útoku sa opiera o sociálne inžinierstvo. Útočník môže presvedčiť mobilného operátora, aby mu vydal a aktivoval novú SIM kartu, ktorá bude zaregistrovaná na telefónne číslo obete. Preto NIST navrhuje používať pri autentizácii iné mechanizmy, napr. smartfónové aplikácie využívajúce bezpečné komunikačné protokoly. Zatiaľ je síce návrh určený pre federálne agentúry, ale možno predpokladať jeho posun aj smerom k  službám a webovým stránkam, ktoré používajú bežní spotrebitelia.

Autor: Redakcia

Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

Bezpečnosť

Elektrické autá budú musieť pri nízkych rýchlostiach vydávať umelý zvuk, aby neohrozovali chodcov

29.11.2016 00:22

Podľa nového nariadenia vydaného americkým Národným úradom pre bezpečnosť cestnej premávky budú musieť byť elektrické a hybridné vozidlá hlučnejšie počas jazdy pri nízkej rýchlosti. Má sa tým zabrániť ...

Bezpečnosť

Aj slúchadlá vás môžu špehovať. Malvér z nich urobí mikrofón

28.11.2016 00:16

Opatrní používatelia počítačov prelepujú ich webovú kameru páskou. Iní sa obávajú sledovania pomocou mikrofónov, preto vypínajú či dokonca odstraňujú tieto audiokomponenty. No skupina izraelských výsk ...

Bezpečnosť

Generálmajor Jonathan Shaw: Kybernetickú bezpečnosť musí riešiť manažment, a nie IT oddelenie

25.11.2016 00:13

Pod názvom Judgment Day sa v Bratislave konal už 11. ročník konferencie zameranej na informačnú bezpečnosť. Na konferencii, ktorú pripravuje TEMPEST spolu so svojimi partnermi, sa každoročne stretáva ...

1 Comments

  1. mešuge.. reakcia na: Americký úrad navrhuje zakázať dvojfaktorovú autentizáciu založenú na SMS. Nie je bezpečná
    22.10.2016 12:10
    Takže útočňík si môže "VIBAVIŤ" novú simku a to je ňebespečné... Bespečňejšie je, že si môže útočňík nainštalovať appku na overovaňie.. Alebo haknúť mobil obeťe! A appku na overovaňie aktivovať ďiaľkovo!!! Veď rovnako ako môže aktivovať presmerovańie SMS!!!
    Reagovať

Vyhľadávanie

Kyocera - prve-zariadenia-formatu-a4-s-vykonom-a3

Najnovšie videá