这并不是一个新问题,但我们似乎不得不继续声明一个显而易见的事实——基于短信的OTP并不能提供足够好的安全性。正如最近的头条新闻所证明的那样,大规模的诈骗导致数百万人从网上银行账户中被盗,是时候让企业考虑其他选择了。这种特殊的攻击是复杂的:攻击者知道如何欺骗关于移动电话位置、设备id等欺诈检测措施。为了做到这一点,攻击者从用户的手机中窃取信息,并设置手机模拟器,使银行认为这是合法的。在一些案例中,攻击者甚至让手机看起来像是用户注册的新手机。这种攻击的一个有趣的方面是,它似乎是自动的,从而使攻击者可以窃取大量的金钱。
以上听起来令人印象深刻,但实际上,它比它应该是容易得多。这是因为,虽然这些银行使用了“应该”防止此类欺诈活动的多因素认证,但使用的多因素方法是基于短信的OTP(一次性密码通过短信发送给用户)。不幸的是,众所周知,基于sms的OTPs安全性很差,实际上攻击者能够窃取它们。现在,我们还不清楚这是如何实现的,但我们知道有很多方法可以绕过基于短信的OTP。其中一种主要的方法是sim -swap,在这种方法中,攻击者使手机运营商相信用户已经更换了他们的手机,并将电话号码重新分配给攻击者的手机。这不是在这个特定的案例中发生的事情,但是有其他的方法。例如,SMS通信是不加密的,因此可能会被拦截(只是要清楚,我不知道在这种情况下发生了什么,但我只是指出,这在理论上是可能的)。
基于强密码秘密的强多因素身份验证是减轻此类攻击的更好机制。一种可能是使用用户持有的专用硬件令牌(如智能卡),但这些有重大的可用性问题。另一种可能性是在用户的移动设备上使用强加密密钥,但如果设备被黑,那么密钥就可能被窃取。因此,只有当手机使用了防止密码被盗的方法时,即使手机完全被黑客入侵并被攻击者拥有,手机才应该被使用。幸运的是,这样的方法确实存在(例如,利用安全多方计算来保护密钥的未绑定平台),但首先,银行和其他企业需要认识到,基于短信的OTP的安全弱点超过了可用性优势。当强大的解决方案确实存在于用户的手机上时,尤其如此,所以没有必要要求外部硬件设备,这确实是个问题。我希望企业和银行能够采用更好的技术,在不损害可用性的情况下提供更高的安全性。
联系揽阁信息,您可以获取到更多满足全球合规性要求的信息安全产品资料,以及相关的整体解决方案的相关资料。如:
数据库访问控制:揽阁LGPAC系统
通用HSM:Luna HSM、ProtectServer HSM
支付HSM:payShield 10K
您还可以得到揽阁信息所提供的优质服务。
揽阁信息 · 值得您信赖的信息安全顾问!