Crittografare sms per doppio fattore?

di
gian82
il
12 risposte
gian82
gian82
Molto attivo
Iscritto da
gen, 2015
Messaggi:
1251

Crittografare sms per doppio fattore?

Ho letto qualche articolo sull'autenticazione a due fattori e
volevo chiedere se qualche banca crittografa l'sms spedito come secondo fattore? basterebbe una password simmetrica settata sul sito della banca con la quale crittografare l'sms contenente l'OTP ed un applicazione sul cellulare che permetta di decriptare l'sms inserendo la password di cui sopra, in questo scenario non servirebbe nemmeno la connessione internet sul cellulare e se l'sms venisse ""reindirizzato"" con un attacco sim-swap (https://www.ilsoftware.it/articoli.asp?tag=SIM-swap-cos-e-e-come-funziona-l-attacco_22546) sarebbe comunque inutilizzabile ,opinioni?

12 Risposte

  • Alka
    Alka
    Utente Famoso
    Iscritto da
    nov, 2014
    Messaggi:
    3312

    Re: Crittografare sms per doppio fattore?

    gian82 ha scritto:

    volevo chiedere se qualche banca crittografa l'sms spedito come secondo fattore?
    Mai vista una roba del genere.
    Credo sarebbe di scarsa utilità dopotutto. Non il doppio fattore o la crittografia, quanto l'applicazione a un SMS.
  • O
    oregon
    Super Famoso
    Iscritto da
    nov, 2011
    Messaggi:
    21791

    Re: Crittografare sms per doppio fattore?

    E' già l'sms il secondo fattore. Dopo aver inserito la password (che devi conoscere), devi possedere lo smartphone. Se hai tutte e due le cose a che serve criptarlo?

    Solo nel caso in cui conosci numero di conto E password E riesci ad intercettare l'SMS ... insomma
  • gian82
    gian82
    Molto attivo
    Iscritto da
    gen, 2015
    Messaggi:
    1251

    Re: Crittografare sms per doppio fattore?

    L'sms è il secondo fattore ma in caso di attacco sim-swap l'sms viene a conoscenza anche di altri , se l'attaccante ha già il primo fattore, con gli otp (che sono in chiaro nell'sms) può compiere azioni a suo favore , se invece il contenuto dell'sms è crittografato l'attacco sim-swap fallisce
  • Alka
    Alka
    Utente Famoso
    Iscritto da
    nov, 2014
    Messaggi:
    3312

    Re: Crittografare sms per doppio fattore?

    gian82 ha scritto:

    L'sms è il secondo fattore ma in caso di attacco sim-swap l'sms viene a conoscenza anche di altri , se l'attaccante ha già il primo fattore, con gli otp (che sono in chiaro nell'sms) può compiere azioni a suo favore , se invece il contenuto dell'sms è crittografato l'attacco sim-swap fallisce
    Ok, ma se è crittografato, ci vuole una app per estrarre il contenuto dell'SMS e la deve poter installare chiunque... a questo punto, sfuma il vantaggio di crittografare l'SMS.
  • gian82
    gian82
    Molto attivo
    Iscritto da
    gen, 2015
    Messaggi:
    1251

    Re: Crittografare sms per doppio fattore?

    "ci vuole una app per estrarre il contenuto dell'SMS e la deve poter installare chiunque" sicuramente , ma la password per crittografare-decrittografare la conosci solo tu ed il backend dell'istituto di credito quindi l'hacker che si scarica l'applicazione non può farci molto se non conosce la password per mettere in chiaro il contenuto dell'sms
  • Alka
    Alka
    Utente Famoso
    Iscritto da
    nov, 2014
    Messaggi:
    3312

    Re: Crittografare sms per doppio fattore?

    gian82 ha scritto:

    ma la password per crittografare-decrittografare la conosci solo tu ed il backend dell'istituto di credito quindi l'hacker che si scarica l'applicazione non può farci molto se non conosce la password per mettere in chiaro il contenuto dell'sms
    Quindi, per un caso che può essere considerato molto al limite (ma diamolo comunque per probabile), tutte le occasioni di utilizzo tradizionali richiederanno che tu metta un login e una password e poi, ricevendo un SMS, mettere un'altra password ancora per decrittarlo, e questo ogni volta che si devono usare le credenziali.

    Capisci anche tu che il gioco non vale la candela, o almeno non lo vale per me che - a differenza di mia madre o mia nonna - faccio uso di un password manager e di tutti gli espedienti per rendere l'inserimento di password e altro il più fluente possibile, figuriamoci quindi l'utente medio...
  • gian82
    gian82
    Molto attivo
    Iscritto da
    gen, 2015
    Messaggi:
    1251

    Re: Crittografare sms per doppio fattore?

    "Capisci anche tu che il gioco non vale la candela" ,non intendevo convincere nessuno ma solo avere un riscontro.... ,

    questo tipo di ""autenticazione"" potrebbe ad esempio essere limitato alle password dispositive per le quali la sicurezza è cruciale ,

    in questo caso in effetti occorrerebbe mettere una password in più , magari alcuni potrebbero essere favorevoli ad usare questo metodo altri no ,la tua opinione mi è chiara ,
  • Toki
    Toki
    Moderatore
    Iscritto da
    gen, 2001
    Messaggi:
    3887

    Re: Crittografare sms per doppio fattore?

    L'autenticazione a doppio fattore con SMS ha il rischio, seppur remoto, di cui scrivi.
    E' per questo motivo che quando è possibile farlo si usa un app specifica nel telefono.
    Ad esempio le banche cercano di farti usare la loro App che implementa la logica 2FA (e si risparmiano il costo dell'sms).
    Ci sono inoltre specifiche App 2FA Authenticator e inoltre Google Authenticator e simili
  • gian82
    gian82
    Molto attivo
    Iscritto da
    gen, 2015
    Messaggi:
    1251

    Re: Crittografare sms per doppio fattore?

    Ciao Toki , grazie della risposta ,
    queste app delle banche come funzionano? producono un otp a richiesta oppure richiedono una password "di lavoro" per tornare un otp valido? chiedo questo per capire se in caso di furto o smarrimento del telefono il semplice possesso del telefono comporta la capacità di operare sul conto (conoscendo ovviamente anche username e password per il login),
  • Alka
    Alka
    Utente Famoso
    Iscritto da
    nov, 2014
    Messaggi:
    3312

    Re: Crittografare sms per doppio fattore?

    gian82 ha scritto:

    "Capisci anche tu che il gioco non vale la candela" ,non intendevo convincere nessuno ma solo avere un riscontro....
    Non è che mi devi convincere: sono io che ti sto facendo notare la scomodità tale per cui probabilmente il mezzo non è utilizzato perché all'atto pratico non è efficiente né sicuro.

    gian82 ha scritto:

    in questo caso in effetti occorrerebbe mettere una password in più , magari alcuni potrebbero essere favorevoli ad usare questo metodo altri no ,la tua opinione mi è chiara ,
    In quel caso, allora meglio usare una impronta digitale o un riconoscimento biometrico, che è ben più sbrigativo, ma essendo mediato comunque da una app, tantovale che l'app riceva il dato tramite una notifica, piuttosto che scomodare un SMS da decodificare.
  • Toki
    Toki
    Moderatore
    Iscritto da
    gen, 2001
    Messaggi:
    3887

    Re: Crittografare sms per doppio fattore?

    La questione furto e smarrimento la risolvi con:
    - criptazione del dispositivo e protezione con strong password (l'impronta digitale ti sarà utile per evitare di doverla reinserire ogni volta)
    - blocco dello schermo in pochi secondi
  • gian82
    gian82
    Molto attivo
    Iscritto da
    gen, 2015
    Messaggi:
    1251

    Re: Crittografare sms per doppio fattore?

    Grazie Toki
Devi accedere o registrarti per scrivere nel forum
12 risposte