web-dev-qa-db-fra.com

La 2FA via téléphone mobile est-elle toujours une bonne idée lorsque les téléphones sont l'appareil le plus exposé?

Tout le monde sait que deux facteurs valent mieux qu'un. Mon problème est que, souvent, le seul deuxième facteur autorisé est les messages texte envoyés à votre téléphone mobile. Cela crée deux préoccupations:

  1. Je voyage fréquemment à l'étranger et je perds l'accès aux comptes 2FA chaque fois que la carte SIM associée ne peut pas toucher à un réseau.

  2. Votre téléphone est intrinsèquement votre appareil le moins sécurisé. J'installe beaucoup plus de logiciels et télécharge beaucoup plus de fichiers sur mon téléphone que partout ailleurs avec beaucoup moins de capacité à vérifier les sources ou à contrôler l'accès. Par exemple, presque toutes les applications demandent des autorisations de balayage pour fonctionner correctement. Même les applications qui ne bénéficient pas d'autorisations explicites se sont avérées détourner ces autorisations via les services Google.

J'ai l'impression que lier mon téléphone à des comptes sensibles (tels que les services bancaires) les rendrait en fait plus exposés aux attaques et plus difficiles à maintenir un accès légitime.

63
functionalparanoia

2FA via mobile est-il la meilleure sécurité qui soit? Non. SMS 2FA est la forme la plus faible de 2FA , cependant, cela en vaut toujours la peine car il améliore la sécurité et il a un barrière d'entrée relativement faible, en particulier pour les utilisateurs non techniques.

Que peut-on améliorer? Vous pouvez utiliser jeton TOTP en utilisant des applications comme Google Authenticator. Cela utilise toujours votre téléphone mobile, mais il ne dépend pas du numéro de téléphone, vous pouvez donc toujours utiliser OTP même lorsque votre téléphone n'a pas de connectivité.

L'étape suivante consiste à utiliser jeton matériel dédié conforme à U2F ou WebAuthn, comme le jeton RSA ou Yubikey. La prise en charge du site Web est assez limitée à certains des principaux sites, mais c'est une excellente alternative lorsqu'elle est disponible. Les comptes Google sont également un fournisseur OAuth afin que vous puissiez l'utiliser pour la connexion au réseau social.

50
Lie Ryan

SMS 2FA n'est pas seulement une mauvaise idée; c'est pire que de ne pas avoir du tout 2FA (mot de passe uniquement). En effet, pratiquement tous les services proposant "SMS 2FA" fournissent réellement SMS 1FA! Autrement dit, ils permettent la récupération complète du compte via SMS, sans avoir besoin d'avoir le mot de passe du compte. Cela signifie quiconque peut:

  • convaincre votre opérateur de téléphonie mobile de porter votre numéro
  • convaincre votre opérateur de téléphonie mobile qu'il est vous et qu'il a perdu sa carte SIM et en a besoin d'une nouvelle
  • configurer un capteur IMSI
  • voler ou "emprunter" votre téléphone et le déverrouiller
  • installer des logiciels malveillants sur votre téléphone avec les autorisations SMS
  • etc.

peut prendre le contrôle de pratiquement tous les comptes sur lesquels vous avez activé SMS "2FA". Par le passé, ces types d'attaques étaient limités aux cibles avec des comptes de grande valeur liés au nombre (comptes détenant un grand balanace sur les échanges de crypto-monnaie, les comptes de messagerie électronique et les réseaux sociaux de personnalités politiques et de célébrités, etc.), mais qui deviennent une menace pour tout le monde, peut-être même des attaques aléatoires non ciblées.

Si vous avez besoin de 2FA, utilisez le logiciel TOTP ou un jeton matériel. Non seulement vous ne devez pas activer SMS 2FA; vous ne devriez même pas donner votre numéro de mobile aux services sur lesquels vous détenez des comptes précieux, car ils inévitablement tiliseront votre numéro comme SMS 1FA s'ils l'ont dans le dossier.

Cela dépend de ce que vous comparez, de ce que vous devez protéger et de ce que vos utilisateurs peuvent être facturés et formés à utiliser.

2FA avec le téléphone mobile est sujet au vol de téléphone, aux logiciels malveillants, aux procédures (incorrectes) de remplacement de la carte SIM de l'opérateur téléphonique, aux vulnérabilités du réseau mobile, etc.

Cependant, il vaut bien mieux que 1FA, par exemple, le mot de passe utilisateur. C'est donc une bonne étape pour sécuriser un grand nombre de choses. L'attaquant doit non seulement voler un mot de passe, mais aussi attaquer votre téléphone d'une manière ou d'une autre. Une attaque contre un téléphone est facile à remarquer (un téléphone est absent ou ne fonctionne pas) ou complexe.

Ma banque propose (ainsi que de meilleures options) SMS 2FA pour une fonctionnalité limitée de leurs services bancaires par Internet. Ils le doivent. Beaucoup de leurs clients ne peuvent pas être dérangés d'utiliser quelque chose de plus complexe et si vous les forcer ils trouveront juste une autre banque.

2
fraxinus

Votre première préoccupation est très réelle, les services qui ne comprennent pas que parfois, certains clients peuvent ne pas avoir accès aux messages texte - ces services sont faux.

Cependant, avoir d'autres logiciels en cours d'exécution sur votre téléphone n'est pas la pire préoccupation concernant 2FA via SMS.

OK, un mauvais acteur lira un jeton d'autorisation à 6 chiffres. Ils ne peuvent pas vous cacher ce message texte de manière fiable, donc le scénario "faux accès à votre compte sur un autre appareil, lisez furtivement le code 2FA sur l'appareil légitime, et passez-le (par exemple sur Internet) à l'appareil attaquant" n'est pas très probable.

Le pire problème est qu'il est assez facile de compromettre ce canal. Un gouvernement peut ordonner à votre opérateur de téléphonie mobile de leur donner une porte dérobée pour la messagerie texte. Un acteur criminel peut utiliser l'ingénierie humaine pour obtenir une copie illégale de votre carte SIM, ou installer furtivement du matériel pour intercepter le message texte destiné uniquement à vos yeux.

1
Alex Cohn

MFA via SMS n'est pas la meilleure forme de MFA. À certains égards, c'est le pire. Restez à l'écart de celui-ci autant que possible en gros.

MFA via d'autres sources mobiles - tels que les codes TOTP via des applications comme Google Authenticator - sont excellents. Je recommande de les utiliser autant que possible.

0
securityOrange

2FA par messages texte - L'authentification multifacteur (2FA) par messages texte est assez lourde, principalement parce que, comme vous l'avez dit, le remplacement de la carte SIM rend presque impossible l'authentification même si vous ne possédez pas deux téléphones ou un téléphone dual-sim, et il est également moins sécurisé et plus vulnérable aux attaques de détournement de SIM.

2FA via des applications - Des plateformes comme Blizzard et Steam, ou des applications Authenticator comme Google Authenticator et Authy exécutent 2FA via des applications mobiles, ne ne tient pas compte de votre carte SIM et est donc plus sûr et plus pratique.

Donc, si votre question est de savoir si 2FA via les téléphones mobiles est une bonne idée, alors je dirais c'est, selon la méthode de mise en œuvre. En changeant les cartes SIM de côté, si vous êtes préoccupé par la sécurité, mon meilleur conseil serait de vous méfier des choses que vous installez - vérifiez toujours en ligne la crédibilité et la sécurité de l'application, car même si cela peut être ennuyeux à faire, en utilisant 2FA est de loin l'un des meilleurs moyens d'assurer la sécurité des mots de passe et il serait beaucoup moins sûr de ne pas l'utiliser.

0
s h a a n