SMS สำหรับการยืนยันตัวตนสองชั้น: วิธีความปลอดภัยที่แยกว่าชื่อเสียงของมันเสียอีก

 (ccc.de)
2 คะแนน โดย GN⁺ 2024-07-12 | 1 ความคิดเห็น | แชร์ทาง WhatsApp

  • รหัสผ่านใช้ครั้งเดียวและ SMS

    • รหัสผ่านใช้ครั้งเดียวมักถูกส่งผ่าน SMS
    • นักวิจัยด้านความปลอดภัยจาก CCC เข้าถึงข้อความ SMS มากกว่า 200 ล้านข้อความจากบริษัทมากกว่า 200 แห่งได้แบบเรียลไทม์

  • การยืนยันตัวตนสองชั้นผ่าน SMS (2FA-SMS)

    • 2FA-SMS เป็นวิธีเพิ่มความปลอดภัยของการยืนยันตัวตน
    • ต้องใช้รหัสแบบไดนามิกที่ส่งมาทาง SMS ควบคู่กับรหัสผ่านแบบคงที่
    • ผู้ใช้ต้องกรอกรหัสดังกล่าวเมื่อเข้าสู่ระบบ ซึ่งเป็นการพิสูจน์ทั้งรหัสผ่าน (ปัจจัยแรก: ความรู้) และสิทธิ์เข้าถึงหมายเลขโทรศัพท์ (ปัจจัยที่สอง: การครอบครอง)
    • การมีเพียงรหัสผ่านที่ถูกขโมยมาไม่เพียงพอสำหรับการยึดบัญชีผู้ใช้

  • ช่องทางโจมตีที่รู้จักกันดี

    • ผู้โจมตีสามารถดักจับข้อความ SMS ได้ผ่านการสลับ SIM หรือใช้ประโยชน์จากช่องโหว่ SS7 ของเครือข่ายมือถือ
    • การโจมตีแบบฟิชชิงสามารถล่อให้ผู้ใช้เปิดเผยรหัสผ่านใช้ครั้งเดียวได้
    • CCC ไม่แนะนำให้ใช้ SMS เป็นปัจจัยที่สองมาตั้งแต่ปี 2013
    • ถึงกระนั้น 2FA-SMS ก็ยังถูกใช้อย่างแพร่หลาย และให้ความปลอดภัยสูงกว่าการยืนยันตัวตนด้วยรหัสผ่านอย่างเดียว

  • ตอนนี้ดูได้ทางออนไลน์ด้วย!

    • CCC สาธิตการโจมตี 2FA-SMS อีกรูปแบบหนึ่งที่ก่อนหน้านี้ถูกมองข้าม
    • ผู้ให้บริการส่ง SMS จำนวนมากให้กับบริษัทและบริการหลากหลายแห่ง และสามารถเข้าถึงเนื้อหา SMS ได้
    • ดังนั้นความปลอดภัยของกระบวนการยืนยันตัวตนจึงขึ้นอยู่กับความปลอดภัยของผู้ให้บริการเหล่านี้

  • ความผิดพลาดของ IdentifyMobile

    • IdentifyMobile เผยแพร่รหัสผ่านใช้ครั้งเดียวบนอินเทอร์เน็ตแบบเรียลไทม์
    • CCC เข้าถึงข้อมูลนี้ได้โดยบังเอิญ
    • เพียงแค่เดาชื่อซับโดเมนว่า idmdatastore ก็เพียงพอแล้ว
    • นอกจากเนื้อหา SMS แล้ว ยังมองเห็นหมายเลขโทรศัพท์ของผู้รับ ชื่อผู้ส่ง และข้อมูลบัญชีอื่น ๆ ด้วย

  • SMS 200 ล้านข้อความจากบริษัทมากกว่า 200 แห่ง

    • บริษัทมากกว่า 200 แห่งได้รับผลกระทบ รวมถึง Google, Amazon, Facebook, Microsoft, Telegram, Airbnb, FedEx และ DHL
    • มี SMS รั่วไหลทั้งหมด 198 ล้านข้อความ
    • เพียงแค่ดูฟีดแบบเรียลไทม์ ก็อาจยึดหมายเลข WhatsApp ทำธุรกรรมทางการเงิน หรือเข้าสู่ระบบบริการต่าง ๆ ได้ หากรู้รหัสผ่านอยู่แล้ว

  • (ในตอนนี้) ยังไม่ใช่หายนะ

    • โดยทั่วไปการนำรหัส SMS ไปใช้ในทางที่ผิดยังต้องมีรหัสผ่านด้วย
    • อย่างไรก็ตาม ในข้อมูลก็มีลิงก์ "ล็อกอินด้วยคลิกเดียว" รวมอยู่ด้วย
    • สำหรับบางบริษัทขนาดใหญ่ ได้รับผลกระทบเฉพาะบริการรายตัวที่อยู่ภายใต้การป้องกันของ IdentifyMobile เท่านั้น
    • ความประมาทของ IdentifyMobile ทำให้บริษัทและลูกค้าตกอยู่ในความเสี่ยงอย่างมาก
    • ขณะนี้หน่วยงานคุ้มครองข้อมูลทั่วโลกกำลังได้รับคำร้องลักษณะคล้ายกันอย่างถาโถม

  • เราไม่ได้เก็บข้อมูลไว้

    • อย่างไรก็ตาม ไม่อาจตัดความเป็นไปได้ที่ผู้อื่นจะเข้าถึงข้อมูลดังกล่าวได้

  • 2FA-SMS ดีกว่าไม่มีอะไรเลย แต่ควรใช้วิธีอื่น

    • การใช้รหัสผ่านใช้ครั้งเดียวที่สร้างจากแอปหรือฮาร์ดแวร์โทเค็นปลอดภัยกว่า และไม่ขึ้นกับเครือข่ายมือถือ
    • หากมีตัวเลือกนี้ แนะนำให้ใช้งาน
    • และปัจจัยที่สองแบบใดก็ตามย่อมดีกว่าการใช้เพียงรหัสผ่านอย่างเดียว

สรุปโดย GN⁺

  • บทความนี้กล่าวถึงช่องโหว่ด้านความปลอดภัยของการยืนยันตัวตนสองชั้นที่อิงกับ SMS
  • ความผิดพลาดของ IdentifyMobile ทำให้ SMS มากกว่า 200 ล้านข้อความรั่วไหล ส่งผลให้หลายบริษัทและลูกค้าตกอยู่ในความเสี่ยงอย่างมาก
  • 2FA-SMS ปลอดภัยกว่าการใช้เพียงรหัสผ่าน แต่การใช้รหัสผ่านใช้ครั้งเดียวจากแอปหรือฮาร์ดแวร์โทเค็นจะดีกว่า
  • บทความนี้มีประโยชน์ต่อผู้ที่สนใจเรื่องความปลอดภัย และเตือนถึงความเสี่ยงของการยืนยันตัวตนผ่าน SMS

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2024-07-12
ความเห็นบน Hacker News

  • มีการแชร์ประสบการณ์ที่เพื่อนของครอบครัวตกเป็นเหยื่อการโจมตีแบบฟิชชิงที่ถูกชักนำผ่าน Google Ads

    • ผู้โจมตีลงโฆษณาด้วยคำค้นหาอย่าง "BANKNAME login"
    • มีการกรอกรหัส 2FA ลงในเว็บไซต์ปลอม แต่จากนั้นระบบก็ขอรหัสที่สองอีกครั้ง
    • รหัสที่สองถูกนำไปใช้เพื่อเพิ่มผู้รับใหม่สำหรับฟีเจอร์ "pay anyone"
    • สุดท้ายสูญเสียเงินไป แต่ภายหลังก็ได้คืน

  • มีบัญชีธนาคารสองบัญชี โดยบัญชีหนึ่งใช้ SMS 2FA และอีกบัญชีใช้แอป

    • เดิมคิดว่าแอปปลอดภัยกว่าตามปกติ แต่ในบางสถานการณ์ SMS อาจดีกว่า
    • 2FA ที่เหมาะสมที่สุดคือการสร้างโทเค็นที่แตกต่างกันตามประเภทของธุรกรรม

  • สงสัยว่าบริษัทที่บังคับใช้ SMS 2FA ไม่ได้ใส่ใจเรื่องความปลอดภัย แต่ต้องการเบอร์โทรศัพท์มากกว่า

    • NIST แนะนำว่าไม่ควรใช้ SMS 2FA
    • ธนาคารหลายแห่งบังคับใช้ SMS 2FA เพราะแอปทำงานไม่ได้บนโทรศัพท์ที่รูตแล้ว

  • ลองใช้ ChatGPT 4 วิเคราะห์ภาพหน้าจอของเว็บไซต์ธนาคารเพื่อตรวจสอบว่าเป็นฟิชชิงหรือไม่

    • เมื่อเปลี่ยนตัวอักษรใน URL ไปหนึ่งตัว ก็ถูกระบุว่าเป็นความพยายามฟิชชิง
    • โมเดลสามารถวิเคราะห์ภาพหน้าจอโดยอัตโนมัติและตัดสินได้ว่าเป็นของจริงหรือไม่

  • ในสหราชอาณาจักร ธุรกรรมธนาคารออนไลน์เกือบทั้งหมดได้รับการยืนยันผ่าน SMS

    • ดูเหมือนว่าจะเป็นข้อกำหนดตามกฎหมาย
    • ระบบเดิมที่ใช้บัตร + เครื่องอ่านบัตร + การยืนยันด้วย PIN ปลอดภัยกว่า
    • หวังว่าจะมีการตระหนักว่านี่เป็นการตัดสินใจที่ผิดพลาดและแก้ไขมัน

  • บทความกำลังสับสนระหว่างปัญหาด้านความปลอดภัยที่ต่างกันสองเรื่อง

    • ลิงก์ "1-click login" อันตรายได้แม้เข้าถึงได้แค่ SMS
    • รหัส 2FA เป็นปัจจัยที่สอง จึงน่ากังวลน้อยกว่าเพราะยังต้องมีรหัสผ่านด้วย

  • สวีเดนแก้ปัญหานี้ด้วย BankID

    • เป็นไปได้จากความร่วมมือระหว่างหน่วยงานภาครัฐและเอกชน
    • ใช้สำหรับล็อกอินและ 2FA ในบริการภาครัฐและธนาคารส่วนใหญ่
    • น่าแปลกใจที่ประเทศอื่นหรือแม้แต่ทั้งสหภาพยุโรปยังไม่มีระบบแบบนี้

  • ข้อความในบัคเก็ต S3 ถูกอัปเดตทุก 5 นาที

    • ไม่ใช่แค่ Twilio Verify (2FA API) เท่านั้น แต่ SMS ทั้งหมดที่ส่งผ่านผู้ให้บริการรายนี้ได้รับผลกระทบ

  • สถาบันการเงินหลายแห่งกำหนดให้ต้องใช้ SMS 2FA และไม่มีตัวเลือก HOTP/TOTP ให้