NSM: – SMS og epost bør unngås til tofaktor-autentisering [Ekstra]

[SarahG]

NSM: – SMS og epost bør unngås til tofaktor-autentisering [Ekstra]

[Lostfields]

Nå får jeg ikke lest denne artikkelen men hva er alternativene? SMS og Epost som 2FA er "vanskeligere" å rute om enn f.eks. MOTP (for eksempel Google Authenticator appen) hvor hemmeligheten er lagret lesbart med brukeren (kan være kryptert).

 

Har man MOTP hemmeligheten så trenger man ikke noen omruting, og MOTP hemmeligheten kan ikke hashes engang, det beste man kan gjøre er å kryptere den. Får man tilgang på en brukerdatabase, så har man helt sikkert fått tilgang på MOTP hemmeligheten også. Hvis det finnes måter å komme inn på en glemt konto med MOTP så sitter man i saksa.

[EysteinHS]

Muligheten for falske basestasjoner er vel ikke så stort at faren for intercept av engangs passord på SMS er noen kjemperisiko for hvermansen. Greit nok at geeksa takler å ha mange forskjellige apper og lignende for å få MFA autentisering. Olga (85) syns det er avansert nok med SMS.

[Emancipate]

Nå får jeg ikke lest denne artikkelen men hva er alternativene?

Kodebrikke. Endret 29. august 2018 av Emancipate

[Civilix]

Kodebrikke har gått ut på dato, alternativet burde være smartkort.

[Geir Sandvik]

Skulle gjerne sett at det kom en felles standard - og at den ble implementert i alle typer sports- og smartarmbånd. Selv har jeg en Fitbit på armen og den er alltid der jeg er. Ville vært lurt om den kunne fungere som faktor 2.

[Penguin]

Hvordan er sikkerheten i BankID på mobil? Den bruker SIM Toolkit, men det kan vel ligge mer sikkerhet innebygget her. Noen som har pekere til analyser og oversikt? Kan ondsinnede aktører hos Mobiloperatørene og de som drifter BankID i teorien samarbeide for å angripe enkeltindivider?

[RRhoads]

Hvordan er sikkerheten i BankID på mobil? Den bruker SIM Toolkit, men det kan vel ligge mer sikkerhet innebygget her. Noen som har pekere til analyser og oversikt? Kan ondsinnede aktører hos Mobiloperatørene og de som drifter BankID i teorien samarbeide for å angripe enkeltindivider?

Bankid på mobil benytter kryptering, så det er rimelig sikkert.

[Ole3]

Kodebrikke har gått ut på dato, alternativet burde være smartkort.

 

Hvorfor mener du kodebrikker har gått ut på dato, og at smartkort er bedre?

 

/Ole

[Civilix]

Hvorfor mener du kodebrikker har gått ut på dato, og at smartkort er bedre?

 

/Ole

 

Hovedsakelig brukervennlighet, jeg mener også det er bedre teknisk men brukervennligheten alene er nok til å gjøre det til det beste alternativet.

[jawil]

En del tjenester tillater passord-reset via SMS. Såvidt jeg skjønner gjør f.eks. Instagram det. Da blir ikke dette utsagnet riktig lengre: "Strand forklarer at selv om SMS og epost er det dårligste alternativet for 2FA, er det fortsatt ikke trivielt å utføre et vellykket angrep mot disse, i og med at angriperen i tillegg må kjenne passordet til brukeren."

 

Passordet er det da i praksis lite vits i..

[djgudleif]

Alternativet burde bare være å ha ett passord. 2FA er waste of time. Jeg gir faen i sikkerhet.

[Skatteflyktning]

SMS og epost bør unngås til end-end encryption.

[Civilix]

SMS og epost bør unngås til end-end encryption.

 

Med ende til ende kryptering er jo databærer lite relevant...

[NgZ]

En del tjenester tillater passord-reset via SMS. Såvidt jeg skjønner gjør f.eks. Instagram det. Da blir ikke dette utsagnet riktig lengre: "Strand forklarer at selv om SMS og epost er det dårligste alternativet for 2FA, er det fortsatt ikke trivielt å utføre et vellykket angrep mot disse, i og med at angriperen i tillegg må kjenne passordet til brukeren."

 

Passordet er det da i praksis lite vits i..

Nå får jeg ikke lest artikkelen, men det første slo meg var at det største problemet med epost er at man stort sett kan resette passordet via epost også. Da er det plutselig ikke snakk om tofaktor lenger. Det samme gjør seg jo gjeldende om du kan resette passord per sms.

 

I tillegg er det utrolig nok flere nettsider som har som "løsning" for mistet 2fa-dings å resette passordet (via epost), da skrur man nemlig av 2fa samtidig.  

 

@Penguin med BankID på mobil lagres nøkkelen sikkert på simkortet, og simkortet foretar selv signeringen/verifiseringen. Den er derfor i teorien sikrere mot ondsinnet MTM fra presumptivt troverdige aktører. Uten å vite nok, vil jeg imidlertid anta at det kan være tekniske muligheter for mobiloperatøren kan manipulere push-beskjeden/servicemeldingen som vises på telefonen når du skal bruke BankID på mobil.