Minden telefon, ami az adott cellában van, az hallja és eléri a szervízcsatornában folyó kommunikációt. Semmilyen extra nincs benne, SDR-rel szépen lehet hallgatózni
Tehát ismét csúsztatással próbálod azt az érzetet kelteni, hogy bárki egy közönséges telefonnal le tudja hallgatni a szervizcsatornát. Miközben kell hozzá egy SDR, egy célszoftver, meg rádiós tapasztalat. Valójában az állítás úgy helyes, hogy bárki, aki SDR-rel beáll a frekvenciára, jó helyen, jó időben, az eléri a szervizcsatornában folyó kommunikációt. A sikeres támadáshoz pedig rendelkeznie kell célszoftverrel, demodulációs képességgel, ismernie kell a másik faktort (jelszó), plusz időben el kell kapnia az üzenetet is, tehát valószínűleg automatizálnia kell az egész folyamatot. A "bárki" így máris egy rádiótechnikához, a GSM szabványhoz, a programozáshoz is középhaladó szinten értő valaki lett. 🤡 Aki időt, energiát, pénzt, üzemanyagot sem sajnál az áldozata lakhelyére/munkahelyére való kivonuláshoz, hogy megvárja, amíg belép az Ügyfélkapuján. 🤡🤡 Persze™, nyilvánvaló™, hogy egy ilyet bármelyik pistike össze tud eszkábálni magának. 🤡🤡🤡 Ja nem, csak a Google próbálja ezt az érzetet kelteni, hogy lenyomhassa a senkinek sem kellő RCS szutykát a mobilkommunikációs világ torkán, te meg tőle copy-paste-eled a véleményed.
Tudod, elméletben sok minden működik, de az, hogy valamelyik multi influenszerkéje ezeket jól ledemózza egy IT-biztonsági™ konferencián, még nem lesz valóság. Nagyságrendekkel több csalást követnek el szuperbiztonságos™ okostelefonok meghackelésével, mint SMS-elkapással.
A második faktor, ha saját csatornát használ, akkor tekinthető jónak, ha ez a csatorna _is_ védett a legallgatás és a módosítás ellen. Az SMS nem ilyen.
Az első faktor (jelszó sem) védett a lehallgatás és a módosítás ellen, mivel nem tudod garantálni, hogy nem lopja el egy keylogger begépelés közben, egy spyware a jelszóadatbázisból stb. A kétfaktoros autentikáció alapelve az, hogy két egymástól eltérő, egymástól nem függő csatornán közlekedik és/vagy egymástól teljesen eltérő technológiát használva valósítják meg, annak valószínűségét csökkentendő, hogy a két faktort biztosító technológiát egy helyen egy időben hackelik meg. Aminek a szempontjából az SMS második faktornak biztonságos.
Gondolkodj! Ha az egyik faktor garantáltan biztonságos lehetne, nem lenne szükség második faktorra.
sajnos az e-személyis, kártyaolvasós login nem lett annyira népszerű, mint azt tervezték - nagyrészt amiatt, mert végig ott volt mellette a faék egyszerű user/password login
Értem, tehát akkor most a lakossággal fizettessük meg, okostelefon-újravásárlási kényszer fomájában, hogy elbénáztuk. Nagyszerű.
"kártyaolvasót kell venni"
Ott az okostelefon, mint kártyaolvasó, a TOTP pedig maradhatott volna azoknak, akiknek nincs okostelefonjuk. Bármelyik elmúlt 10 évben gyártott okostelefon NFC-je olvassa az e-személyi chipet.