您当前的位置:   首页 > 新闻中心
基于短信的动态口令/短信验证码(OTP)是否足够安全?
发布时间:2020-12-31 09:33:19   阅读次数:

基于短信的动态口令(OTP)是否足够安全?(图1)

这并不是一个新问题,但我们似乎不得不继续声明一个显而易见的事实——基于短信的OTP并不能提供足够好的安全性。正如最近的头条新闻所证明的那样,大规模的诈骗导致数百万人从网上银行账户中被盗,是时候让企业考虑其他选择了。这种特殊的攻击是复杂的:攻击者知道如何欺骗关于移动电话位置、设备id等欺诈检测措施。为了做到这一点,攻击者从用户的手机中窃取信息,并设置手机模拟器,使银行认为这是合法的。在一些案例中,攻击者甚至让手机看起来像是用户注册的新手机。这种攻击的一个有趣的方面是,它似乎是自动的,从而使攻击者可以窃取大量的金钱。


以上听起来令人印象深刻,但实际上,它比它应该是容易得多。这是因为,虽然这些银行使用了“应该”防止此类欺诈活动的多因素认证,但使用的多因素方法是基于短信的OTP(一次性密码通过短信发送给用户)。不幸的是,众所周知,基于sms的OTPs安全性很差,实际上攻击者能够窃取它们。现在,我们还不清楚这是如何实现的,但我们知道有很多方法可以绕过基于短信的OTP。其中一种主要的方法是sim -swap,在这种方法中,攻击者使手机运营商相信用户已经更换了他们的手机,并将电话号码重新分配给攻击者的手机。这不是在这个特定的案例中发生的事情,但是有其他的方法。例如,SMS通信是不加密的,因此可能会被拦截(只是要清楚,我不知道在这种情况下发生了什么,但我只是指出,这在理论上是可能的)。


基于强密码秘密的强多因素身份验证是减轻此类攻击的更好机制。一种可能是使用用户持有的专用硬件令牌(如智能卡),但这些有重大的可用性问题。另一种可能性是在用户的移动设备上使用强加密密钥,但如果设备被黑,那么密钥就可能被窃取。因此,只有当手机使用了防止密码被盗的方法时,即使手机完全被黑客入侵并被攻击者拥有,手机才应该被使用。幸运的是,这样的方法确实存在(例如,利用安全多方计算来保护密钥的未绑定平台),但首先,银行和其他企业需要认识到,基于短信的OTP的安全弱点超过了可用性优势。当强大的解决方案确实存在于用户的手机上时,尤其如此,所以没有必要要求外部硬件设备,这确实是个问题。我希望企业和银行能够采用更好的技术,在不损害可用性的情况下提供更高的安全性。


揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息,您可以获取到更多满足全球合规性要求的信息安全产品资料,以及相关的整体解决方案的相关资料。如:


您还可以得到揽阁信息所提供的优质服务。

揽阁信息是您的信息安全首选专家!


相关阅读

购买咨询电话
021-54410609