Casa Securitywatch Il tasto di testo a prova di hacker trasforma l'autenticazione sms in testa

Il tasto di testo a prova di hacker trasforma l'autenticazione sms in testa

Video: Is Symfuhny CHEATING?! *Official Response* (Novembre 2024)

Video: Is Symfuhny CHEATING?! *Official Response* (Novembre 2024)
Anonim

Probabilmente hai riscontrato uno degli schemi di autenticazione del sito Web che funzionano inviando un codice una tantum sul tuo smartphone e facendolo entrare online. I numeri di autenticazione delle transazioni mobili (mTAN) utilizzati da molte banche ne sono un esempio. Google Authenticator ti consente di proteggere il tuo account Gmail allo stesso modo, e vari altri servizi, ad esempio LastPass, lo supportano. Sfortunatamente, i cattivi sanno già come sovvertire questo tipo di autenticazione. L'autenticazione SMS di TextKey è un nuovo approccio, che protegge ogni fase del processo di autenticazione.

Giralo

L'autenticazione SMS vecchio stile invia quel codice una tantum al numero di cellulare registrato dell'utente. Non c'è modo di essere sicuri che il codice non sia stato catturato da malware o intercettato utilizzando un clone del telefono. Successivamente, l'utente digita il codice nel browser. Se il PC è infetto, la transazione potrebbe essere compromessa. In effetti, una variante di Zeus chiamata zitmo (per "Zeus in the mobile") esegue un attacco tag-team, con un componente sul PC e uno sul dispositivo mobile che cooperano per rubare le tue credenziali e i tuoi soldi.

TextKey inverte l'intero processo. Non ti scrive nulla. Invece, visualizza un PIN dopo aver inserito il nome utente e la password e ti chiede di inviare quel PIN a un codice funzione specificato. I gestori di telefonia mobile lavorano duramente per assicurarsi che un numero di telefono corrisponda esattamente a un dispositivo, quindi se il server TextKey riceve il messaggio, significa che il gestore ha già convalidato il numero di telefono e l'UDID del telefono. Proprio lì, TextKey ottiene due fattori di autenticazione aggiunti gratuitamente!

Il PIN è diverso ogni volta ed è valido solo per un paio di minuti. Anche il codice funzione varia. E un sito Web che utilizza TextKey per l'autenticazione può facoltativamente richiedere a ciascun utente di creare un PIN personale che deve essere aggiunto all'inizio o alla fine del PIN singolo.

Cosa succede se un collega naviga a spalla sullo schermo con il PIN e il codice funzione o un programma dannoso segnala la tua attività di messaggistica al proprietario? Se il sistema TextKey riceve il PIN corretto dal numero di telefono errato, non si limita a rifiutare l'autenticazione. Registra anche il numero di telefono come una frode, quindi il proprietario del sito può intraprendere le azioni appropriate.

Fai clic su questo link per provare TextKey. A scopo dimostrativo, inserirai il tuo numero di telefono; in una situazione del mondo reale il numero sarebbe parte del tuo profilo utente. Si noti che è possibile attivare l'avviso di frode inserendo un numero diverso dal proprio.

Come lo ottieni

Purtroppo, TextKey non è qualcosa che puoi implementare come consumatore. Puoi utilizzarlo solo se la banca o altri siti sicuri lo hanno implementato. Le piccole imprese possono stipulare un contratto per l'autenticazione TextKey in base alla sicurezza come servizio, pagando da $ 5 fino a $ 0, 50 per utente al mese, a seconda del numero di utenti. È una tariffa mensile fissa, per qualsiasi numero di accessi. Le operazioni su larga scala che ospitano i propri server TextKey pagano una tariffa di installazione e una tariffa mensile.

Questo schema potrebbe non essere crackabile al 100%, ma è molto più difficile dell'autenticazione SMS della vecchia scuola. Va ben oltre i due fattori; TextPower lo chiama "Omni-Factor". Devi conoscere la password, possedere il telefono con l'UDID corretto, inserire il PIN visualizzato, eventualmente aggiungere il PIN personale, inviare il testo dal tuo numero di telefono registrato e utilizzare il codice funzione casuale come destinazione. Di fronte a questo, l'hacker medio probabilmente sgattaiolerà via e spezzerà alcuni mTAN bancari.

Il tasto di testo a prova di hacker trasforma l'autenticazione sms in testa