Operatören gör SMS-inloggning osäkert

Alla stora webbplatser och webbtjänster erbjuder idag tvåfaktorsautentisering. Det är en funktion som gör att användarna både måste ange ett lösenord och ha tillgång till en ”andra faktor” för att kunna logga in. Den andra faktorn kan exempelvis vara en app som genererar tidsbegränsade koder (t.ex. Microsoft Authenticator) eller en liten USB-nyckel (t.ex. Yubikey).

En tredje, och tyvärr vanligt förekommande tvåfaktorsautentiseringsmetod, är SMS. Vid inloggningstillfället skickar webbtjänsten en tidsbegränsad kod till användarens mobil. Detta har flera nackdelar. För det första är SMS en osäker leveransmetod som gör att skickliga angripare kan utnyttja säkerhetsbrister i mobilnäten för att snappa upp autentiseringskoden som skickas. För det andra utgör medarbetarna på operatörens kundtjänst en svag länk. Genom ”social engineering” kan en angripare manipulera en medarbetare för att få honom eller henne att skicka vidare SMS till angriparens nummer.

Ett exempel på den ovannämnda risken blev jag tipsad om via Säkerhetsbubblan. Där lyckades en användare få sin operatör att skicka vidare alla samtal till ett annat nummer (hos en annan operatör) utan att på något sätt identifiera sig. Han förklarade bara att hans mobil hade gått sönder och att han i väntan på en ny mobil ville få alla samtal kopplade till sin jobbmobil.

Jag har nu, med tillstånd från tipsaren i Säkerhetsbubblan, kontaktat den aktuella operatörens pressavdelning. De låter hälsa att detta var felaktigt hanterat och att deras policy är tydlig med att legitimering via Mobilt Bank-ID krävs för ändringar som dessa. De kommer att följa upp incidenten för att säkerställa att det inte händer igen.

Mot denna bakgrund bör ändå inte SMS användas för tvåfaktorsautentisering. Det finns för mycket som kan gå fel. Jag rekommenderar därför att alltid välja bort SMS till förmån för andra alternativ när så är möjligt. Nikka Systems rekommenderade tvåfaktorsautentiseringslösningar är i dagsläget TOTP (Microsoft Authenticator eller Google Authenticator) och Yubikey.

Observera att det alltid är bättre att använda SMS för tvåfaktorsautentisering än att enkom förlita sig på ett lösenord. En av Sveriges största, webbaserade bokföringstjänster erbjuder exempelvis enbart SMS som tvåfaktorsautentiseringslösning. Då är det bättre att använda SMS för tvåfaktorsautentisering än att skydda bokföringen med bara ett lösenord.

Kommentarer

Delta i diskussionen. Logga in med ditt befintliga konto på Nikka Systems Academy eller skapa ett nytt konto helt gratis.

Kommentar