SMS untuk autentikasi dua faktor: metode keamanan yang lebih buruk daripada reputasinya

 (ccc.de)
2 poin oleh GN⁺ 2024-07-12 | 1 komentar | Bagikan ke WhatsApp

  • Kata sandi sekali pakai dan SMS

    • Kata sandi sekali pakai sering dikirim melalui SMS
    • Peneliti keamanan dari CCC memperoleh akses real-time ke lebih dari 200 juta pesan SMS yang dikirim oleh lebih dari 200 perusahaan

  • Autentikasi dua faktor melalui SMS (2FA-SMS)

    • 2FA-SMS adalah metode untuk meningkatkan keamanan autentikasi
    • Diperlukan kode dinamis yang dikirim lewat SMS bersama kata sandi statis
    • Saat login, pengguna harus memasukkan kode ini, yang membuktikan kata sandi (faktor pertama: pengetahuan) dan hak akses ke nomor telepon (faktor kedua: kepemilikan)
    • Kata sandi yang dicuri saja tidak cukup untuk mengambil alih akun pengguna

  • Vektor serangan yang sudah dikenal

    • Penyerang dapat mencegat pesan SMS melalui SIM swapping atau dengan memanfaatkan kerentanan SS7 di jaringan seluler
    • Serangan phishing dapat mendorong pengguna membocorkan kata sandi sekali pakai
    • CCC tidak merekomendasikan penggunaan SMS sebagai faktor kedua sejak 2013
    • Meski begitu, 2FA-SMS tetap digunakan secara luas dan menawarkan keamanan lebih tinggi daripada autentikasi kata sandi saja

  • Sekarang bahkan bisa dilihat secara online!

    • CCC mendemonstrasikan serangan terhadap 2FA-SMS yang sebelumnya terabaikan
    • Penyedia layanan mengirim SMS dalam jumlah besar untuk berbagai perusahaan dan layanan, serta dapat mengakses isi SMS tersebut
    • Karena itu, keamanan proses autentikasi bergantung pada keamanan penyedia semacam ini

  • Kesalahan IdentifyMobile

    • IdentifyMobile membagikan kata sandi sekali pakai ke internet secara real-time
    • CCC dapat mengakses data ini secara tidak sengaja
    • Cukup dengan menebak subdomain bernama idmdatastore
    • Selain isi SMS, nomor telepon penerima, nama pengirim, dan informasi akun lainnya juga terlihat

  • 200 juta SMS dari lebih dari 200 perusahaan

    • Lebih dari 200 perusahaan terdampak, termasuk Google, Amazon, Facebook, Microsoft, Telegram, Airbnb, FedEx, dan DHL
    • Total 198 juta SMS bocor
    • Hanya dengan melihat feed real-time, pelaku bisa mengambil alih nomor WhatsApp, melakukan transaksi keuangan, atau masuk ke berbagai layanan jika sudah mengetahui kata sandinya

  • (Untuk saat ini) belum menjadi bencana

    • Untuk menyalahgunakan kode SMS, biasanya tetap diperlukan kata sandi
    • Namun, tautan "login 1-klik" juga termasuk dalam data
    • Untuk beberapa perusahaan besar, hanya layanan tertentu yang dilindungi IdentifyMobile yang terdampak
    • Kelalaian IdentifyMobile membuat perusahaan dan pelanggan menghadapi risiko besar
    • Otoritas perlindungan data di seluruh dunia kini dibanjiri pertanyaan serupa

  • Kami tidak menyimpan datanya

    • Namun, tidak bisa dikesampingkan bahwa pihak lain juga sempat mengaksesnya

  • 2FA-SMS lebih baik daripada tidak ada sama sekali, tetapi sebaiknya gunakan metode lain

    • Kata sandi sekali pakai yang dibuat oleh aplikasi atau token perangkat keras lebih aman dan tidak bergantung pada jaringan seluler
    • Jika opsi ini tersedia, disarankan untuk menggunakannya
    • Dan faktor kedua apa pun tetap lebih baik daripada kata sandi saja

Ringkasan GN⁺

  • Artikel ini membahas kerentanan keamanan pada autentikasi dua faktor berbasis SMS
  • Kesalahan IdentifyMobile menyebabkan lebih dari 200 juta SMS bocor, yang menimbulkan risiko besar bagi banyak perusahaan dan pelanggan
  • 2FA-SMS lebih aman daripada kata sandi saja, tetapi penggunaan kata sandi sekali pakai berbasis aplikasi atau token perangkat keras lebih baik
  • Artikel ini berguna bagi orang-orang yang peduli pada keamanan dan memperingatkan tentang risiko autentikasi berbasis SMS

Bacaan terkait

1 komentar

 
GN⁺ 2024-07-12
Komentar Hacker News

  • Membagikan pengalaman seorang teman keluarga yang menjadi korban serangan phishing yang diarahkan melalui Google Ads

    • Penyerang memasang iklan untuk kata kunci seperti "BANKNAME login"
    • Korban memasukkan kode 2FA di situs palsu, tetapi kemudian diminta kode kedua
    • Kode kedua digunakan untuk menambahkan penerima baru "pay anyone"
    • Pada akhirnya uang hilang, tetapi kemudian berhasil dipulihkan

  • Memiliki dua rekening bank, satu menggunakan SMS 2FA dan yang lain menggunakan aplikasi

    • Awalnya mengira aplikasi pada dasarnya lebih aman, tetapi dalam situasi tertentu SMS bisa lebih baik
    • 2FA yang ideal adalah menghasilkan token yang berbeda tergantung jenis transaksinya

  • Mencurigai perusahaan yang memaksakan SMS 2FA sebenarnya tidak peduli pada keamanan dan hanya menginginkan nomor telepon

    • NIST merekomendasikan untuk tidak menggunakan SMS 2FA
    • Banyak bank memaksakan SMS 2FA karena aplikasi mereka tidak berjalan di ponsel yang sudah di-root

  • Mencoba menggunakan ChatGPT 4 untuk menganalisis tangkapan layar situs web bank guna memeriksa apakah itu phishing

    • Saat satu huruf pada URL diubah, itu dikenali sebagai upaya phishing
    • Model dapat menganalisis tangkapan layar secara otomatis untuk menilai apakah situs tersebut sah atau tidak

  • Di Inggris, hampir semua transaksi perbankan online diverifikasi lewat SMS

    • Tampaknya ini diwajibkan oleh hukum
    • Sistem verifikasi lama berupa kartu + card reader + PIN lebih aman
    • Berharap orang menyadari bahwa sistem ini adalah pilihan yang keliru dan memperbaikinya

  • Artikel tersebut mencampuradukkan dua masalah keamanan yang berbeda

    • Tautan "1-click login" berbahaya hanya dengan akses ke SMS saja
    • Kode 2FA adalah faktor kedua, jadi kurang mengkhawatirkan karena tetap memerlukan kata sandi

  • Swedia menyelesaikan masalah ini dengan BankID

    • Hal ini dimungkinkan melalui kerja sama antara lembaga publik dan swasta
    • Digunakan untuk login dan 2FA di layanan pemerintah serta sebagian besar bank
    • Mengejutkan bahwa negara lain atau bahkan seluruh Uni Eropa tidak memiliki sistem seperti ini

  • Pesan di bucket S3 diperbarui setiap 5 menit

    • Bukan hanya Twilio Verify (API 2FA), tetapi semua SMS yang dikirim melalui vendor ini juga terdampak

  • Beberapa lembaga keuangan mewajibkan SMS 2FA dan tidak menyediakan opsi HOTP/TOTP