2FA SMS: प्रतिष्ठा से भी बदतर सुरक्षा तरीका

 (ccc.de)
2 पॉइंट द्वारा GN⁺ 2024-07-12 | 1 टिप्पणियां | WhatsApp पर शेयर करें

  • One-time password और SMS

    • One-time password अक्सर SMS के ज़रिए भेजे जाते हैं
    • CCC के security researchers ने 200 से अधिक कंपनियों द्वारा भेजे गए 20 करोड़ से अधिक SMS messages तक real time में access किया

  • SMS के माध्यम से दो-चरणीय प्रमाणीकरण (2FA-SMS)

    • 2FA-SMS authentication security बढ़ाने का एक तरीका है
    • इसके लिए static password के साथ SMS से भेजा गया dynamic code भी चाहिए
    • login के समय user को यह code दर्ज करना होता है, जिससे password (पहला factor: knowledge) और phone number तक access (दूसरा factor: possession) दोनों साबित होते हैं
    • सिर्फ चोरी हुआ password किसी user का account takeover करने के लिए पर्याप्त नहीं होता

  • अच्छी तरह ज्ञात attack vectors

    • SIM swapping या mobile network की SS7 vulnerabilities का उपयोग करके attacker SMS messages intercept कर सकते हैं
    • phishing attacks के ज़रिए users को one-time password उजागर करने के लिए फुसलाया जा सकता है
    • CCC 2013 से ही SMS को second factor के रूप में इस्तेमाल करने की सिफारिश नहीं करता
    • इसके बावजूद 2FA-SMS व्यापक रूप से इस्तेमाल होता है और साधारण password authentication से अधिक security देता है

  • अब इसे online भी देखा जा सकता है!

    • CCC ने 2FA-SMS पर पहले नज़रअंदाज़ किए गए एक attack का प्रदर्शन किया
    • service providers कई कंपनियों और services के लिए बड़े पैमाने पर SMS भेजते हैं और SMS contents तक access रख सकते हैं
    • इसलिए authentication process की security इन providers की security पर निर्भर करती है

  • IdentifyMobile की गलती

    • IdentifyMobile internet पर one-time passwords को real time में साझा कर रहा था
    • CCC संयोग से इस data तक पहुंच सका
    • सिर्फ idmdatastore नाम का subdomain अनुमान लगाना ही काफी था
    • SMS contents के अलावा recipients के phone numbers, sender names और अन्य account information भी दिखाई दे रही थी

  • 200 से अधिक कंपनियों के 20 करोड़ SMS

    • Google, Amazon, Facebook, Microsoft, Telegram, Airbnb, FedEx, DHL सहित 200 से अधिक कंपनियां प्रभावित हुईं
    • कुल 19.8 करोड़ SMS लीक हुए
    • सिर्फ real time feed देखने भर से WhatsApp numbers hijack किए जा सकते थे, financial transactions किए जा सकते थे, या password पता होने पर विभिन्न services में login किया जा सकता था

  • (अभी के लिए) यह तबाही नहीं है

    • SMS codes का दुरुपयोग करने के लिए आम तौर पर password भी चाहिए होता है
    • लेकिन data में "1-click login" links भी शामिल थे
    • कुछ बड़ी कंपनियों के मामले में सिर्फ वही individual services प्रभावित हुईं जिन्हें IdentifyMobile सुरक्षित कर रहा था
    • IdentifyMobile की लापरवाही ने कंपनियों और ग्राहकों को बड़े जोखिम में डाल दिया
    • data protection विभागों पर दुनिया भर से इसी तरह की पूछताछ की बाढ़ आ रही है

  • हमने data संग्रहीत नहीं किया

    • लेकिन यह नकारा नहीं जा सकता कि अन्य लोग भी इस तक पहुंच चुके हों

  • 2FA-SMS कुछ भी न होने से बेहतर है, लेकिन दूसरा तरीका इस्तेमाल करना चाहिए

    • app में generated one-time passwords या hardware tokens का उपयोग अधिक सुरक्षित है और यह mobile network से स्वतंत्र है
    • यदि यह विकल्प उपलब्ध हो, तो उसी का उपयोग करने की सिफारिश की जाती है
    • और कोई भी second factor साधारण password से बेहतर है

GN⁺ का सार

  • यह लेख SMS-आधारित दो-चरणीय प्रमाणीकरण की security weaknesses पर केंद्रित है
  • IdentifyMobile की गलती के कारण 20 करोड़ से अधिक SMS लीक हुए, जिससे कई कंपनियों और ग्राहकों के लिए बड़ा जोखिम पैदा हुआ
  • 2FA-SMS साधारण password से अधिक सुरक्षित है, लेकिन app-आधारित one-time passwords या hardware tokens का उपयोग बेहतर है
  • यह लेख security में रुचि रखने वालों के लिए उपयोगी है और SMS-आधारित authentication के जोखिमों के बारे में चेतावनी देता है

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2024-07-12
Hacker News राय

  • एक परिवार के दोस्त ने Google Ads के ज़रिए ले जाए गए phishing attack का अनुभव साझा किया

    • हमलावर ने "BANKNAME login" जैसे search terms पर ads चलाए
    • नकली साइट पर 2FA code दर्ज किया, लेकिन फिर दूसरा code मांगा गया
    • दूसरा code नए "pay anyone" recipient को जोड़ने के लिए इस्तेमाल हुआ
    • आखिरकार पैसे खो गए, लेकिन बाद में वापस मिल गए

  • उनके पास दो bank accounts हैं, एक SMS 2FA इस्तेमाल करता है और दूसरा app का उपयोग करता है

    • पहले लगा कि app स्वाभाविक रूप से ज़्यादा सुरक्षित है, लेकिन कुछ स्थितियों में SMS बेहतर हो सकता है
    • आदर्श 2FA वह होगा जो transaction type के अनुसार अलग token बनाए

  • जो कंपनियां SMS 2FA को अनिवार्य करती हैं, उन पर शक है कि वे security की परवाह नहीं करतीं और सिर्फ phone number चाहती हैं

    • NIST SMS 2FA का उपयोग न करने की सिफारिश करता है
    • कई banks rooted phones पर app चलने नहीं देते, इसलिए SMS 2FA थोपते हैं

  • ChatGPT 4 का उपयोग करके bank website के screenshots का विश्लेषण कर phishing होने या न होने की जांच की गई

    • URL में एक अक्षर बदलते ही इसे phishing attempt के रूप में पहचाना गया
    • screenshots का अपने-आप analysis करके model तय कर सकता है कि वह वैध है या नहीं

  • UK में लगभग सभी online bank transactions SMS से verify किए जाते हैं

    • लगता है कि यह कानूनी रूप से आवश्यक है
    • पहले वाला card + card reader + PIN verification system ज़्यादा सुरक्षित था
    • उम्मीद है कि इसे गलत विकल्प मानकर सुधारा जाएगा

  • लेख में दो अलग security समस्याओं को गड़बड़ाया गया है

    • "1-click login" link सिर्फ SMS access से भी खतरनाक है
    • 2FA code दूसरा factor है, इसलिए password भी चाहिए और चिंता अपेक्षाकृत कम है

  • Sweden ने BankID के साथ इस समस्या को हल किया है

    • यह public और private institutions के सहयोग से संभव हुआ
    • government services और अधिकांश banks में login और 2FA के लिए इसका उपयोग होता है
    • हैरानी है कि दूसरे देशों या पूरे EU में ऐसा system नहीं है

  • S3 bucket में मौजूद message हर 5 मिनट में update होता है

    • सिर्फ Twilio Verify(2FA API) ही नहीं, बल्कि इस vendor के ज़रिए भेजे गए सभी SMS प्रभावित होते हैं

  • कई financial institutions SMS 2FA की मांग करते हैं और HOTP/TOTP option नहीं देते