¿Por qué no es segura la verificación por SMS?

Los últimos meses han demostrado que los mensajes de texto son a menudo el eslabón más débil del doble control: los piratas informáticos han atacado mensajes de texto de activistas políticos en Irán, Rusia e incluso Estados Unidos. Entonces, si es posible, vale la pena elegir un mejor método de autenticación, como una aplicación de teléfono inteligente para la autenticación o una contraseña física que pueda generar un código de autenticación de un solo uso. Para Twitter, que sólo puede ofrecer SMS como servicio de autenticación secundario, es hora de despertar, descubrir posibles ataques y ofrecer a los usuarios mejores opciones. "Los mensajes de texto no son la mejor manera de revisar", dijo el investigador de seguridad y experto forense Jonathan Zdziarski. "Depende de su teléfono para la verificación y puede verse comprometido sin control". "

El problema con el software social no es utópico. A principios de este mes, el activista de Black Lives Matter, Derey McKesson, descubrió que su cuenta de Twitter seguía bloqueada a pesar de la doble verificación. Hackeada por un hacker que envió un mensaje de apoyo a las elecciones. de Donald Trump, dijo que el hacker se hizo pasar por él, llamó a Verizon y le pidió a la compañía que enviara sus mensajes de texto a otra tarjeta SIM e interceptara sus contraseñas de inicio de sesión de un solo uso. Los activistas rusos también descubrieron recientemente que sus cuentas de televisión por cable. También ha sido pirateado, posiblemente porque la empresa de telecomunicaciones estatal ayudó al régimen autoritario a secuestrar la información de inicio de sesión de los usuarios.

El objetivo no es solo una figura pública, como lo ha señalado Lori Pester Cranoll. había sido pirateado antes y se dio cuenta de que estos ataques de identidad se habían vuelto tan comunes que el estado de Nueva York emitió una advertencia oficial

En el proceso de inicio de sesión, agregar más seguridad basada en la autenticación por SMS es definitivamente mejor que establecer una contraseña pura. Sin embargo, zdziarski señaló que la autenticación por SMS, como autenticación secundaria, no es nada segura. La autenticación de Google y el token basado en el algoritmo de cifrado RSA funcionan muy bien para identificar personas en función de cosas que saben (como contraseñas). que tienen (como teléfonos celulares u otros dispositivos). Seguridad Se pueden probar con una contraseña única de un solo uso proporcionada por el proveedor de servicios de red. Debido a la tecnología de encriptación, esta información de seguridad no se puede usar entre dos computadoras, por lo que la seguridad. mucho menor que la verificación por SMS, por lo que puede que sea menos común.