Forscher der Princeton University stellten die Frage, ob SMS-Textnachrichten eine sichere Authentifizierungsmethode sind, die als ein Faktor bei der Einrichtung einer Zwei-Faktor-Authentifizierung (2FA) verwendet werden kann. Die Antwort stellte sich als a heraus durchschlagend neinvor allem, als das Team begann, Prepaid-Pläne bei den größten Mobilfunkanbietern anzugreifen.
Wenn ein Angreifer die Kontrolle über eine Telefonnummer erlangen kann, indem er das Konto eines Opfers auf die SIM-Karte des Angreifers wechselt, wird der Angreifer kann dann den Überprüfungsprozess, der SMS verwendet, entführen, indem die authentifizierenden Textnachrichten anstelle des Opfers empfangen werden. Bei zehn von zehn Versuchen, Prepaid-Kunden von AT & T, Verizon und T-Mobile Nummern zu stehlen, konnten Forscher das Konto auf ihre eigene SIM-Karte übertragen. Versuche mit Tracfone und US Mobile waren weniger erfolgreich, aber diese Carrier waren nicht vollständig sicher.
Verizon bietet das Pixel 4a für nur 10 US-Dollar pro Monat auf neuen Unlimited-Linien an
In einigen Fällen riefen Forscher an, um zu versuchen, die Identität eines Benutzers zu stehlen, und der Kundendienstmitarbeiter wurde angeleitet sie auf die richtigen Antworten zur Identitätsprüfung oder gaben dem Angreifer einfach Zugriff, selbst nachdem sie es erraten hatten falsch. Die Forscher fanden große Inkonsistenzen, gelegentliche Fehler bei der Überprüfung der Identität insgesamt und allgemein Genug Schwachstellen in den Sicherheitsrichtlinien, um zu empfehlen, SMS als Kennwortauthentifizierungsmethode zu vermeiden insgesamt. Seit die Studie den Betreibern im letzten Jahr bekannt wurde, hat T-Mobile seine Überprüfungsmethoden aktualisiert, um weniger sichere Überprüfungen zu vermeiden.
Der Bericht schlägt vor, dass Carrier alle derzeit verwendeten miesen, unsicheren Methoden aufgeben und auf Sicherheit umstellen Methoden wie ein Kontopasswort / eine PIN oder mindestens ein einmaliger Code, der direkt per SMS oder per SMS an den Benutzer gesendet wird Email. Viele der aktuellen Identifikationsformen wie Straße, Geburtsdatum und einige Kreditkarteninformationen können über die Suche nach öffentlichen Aufzeichnungen gefunden werden. Identifizierende Informationen wie das Datum der letzten Zahlung des Opfers oder die Telefonnummern der letzten Anrufer können manipuliert oder gefälscht werden, um Vertreter zu täuschen. Websites wird außerdem empfohlen, die Verwendung von SMS als Teil eines Multi-Faktor-Authentifizierungsschemas einzustellen.
Zwei-Faktor-Authentifizierung: Alles, was Sie wissen müssen
Haben Sie den Android Central Podcast dieser Woche gehört?
Der Android Central Podcast bietet Ihnen jede Woche die neuesten technischen Nachrichten, Analysen und aktuellen Einstellungen mit vertrauten Co-Hosts und besonderen Gästen.
- Abonnieren Sie in Pocket Casts: Audio
- Abonnieren Sie in Spotify: Audio
- In iTunes abonnieren: Audio
Wir können eine Provision für Einkäufe über unsere Links verdienen. Mehr erfahren.
Dies sind die besten kabellosen Ohrhörer, die Sie zu jedem Preis kaufen können!
Die besten kabellosen Ohrhörer sind bequem, klingen großartig, kosten nicht zu viel und passen problemlos in eine Tasche.
Alles, was Sie über die PS5 wissen müssen: Erscheinungsdatum, Preis und mehr.
Sony hat offiziell bestätigt, dass es auf der PlayStation 5 funktioniert. Hier ist alles, was wir bisher darüber wissen.
Nokia bringt zwei neue preisgünstige Android One-Handys unter 200 US-Dollar auf den Markt.
Nokia 2.4 und Nokia 3.4 sind die neuesten Ergänzungen im Budget-Smartphone-Sortiment von HMD Global. Da es sich bei beiden Geräten um Android One-Geräte handelt, erhalten sie garantiert bis zu drei Jahre lang zwei wichtige Betriebssystemupdates und regelmäßige Sicherheitsupdates.
Hier sind die besten Fälle für das Galaxy S10.
Auch wenn es nicht das neueste Handy ist, ist das Galaxy S10 eines der schönsten und rutschigsten Handys auf dem Markt. Stellen Sie sicher, dass Sie es mit einem dieser Fälle ausstatten.