Re: one-time passwords via sms

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Aprile 2001 ml@sikurezza.org
Soggetto: Re: one-time passwords via sms
Mittente: Raptor
Data: 1 Apr 2001 15:01:03 -0000

A parte tutte le possibili weaknesses di un protocollo di autenticazione
del genere (alcune delle quali aggravate dall'uso di un gw sms via web),
penso che l'ideale sarebbe fargli supportare un modem GSM tipo falcom
(www.falcom.de), piu' che altro per comodita' d'uso. Per chi si chiedesse
di quali debolezze parlo:

1) ci si affida ad un carrier dati (che non e' detto sia onesto/sicuro e
che cmq non e' certamente anonimo - i.e. se una forza di polizia gli
chiede di fornire dei dati il carrier glieli passa xche' li possiede).

2) quello degli sms non e' un protocollo di trasporto particolarmente
affidabile, non so se mi fiderei ad affidarci ad occhi chiusi
l'autenticazione su una mia rete, senza backdoor per le situazioni di
emergenza. E se ci mettiamo una backdoor allora non ha senso.

3) il parser SMS dell'host deve essere ben strutturato e scritto molto
bene, altrimenti sono possibili DoS se qualcuno manda SMS forgiati in modo
particolare (utilizzando ad esempio la possibilita' di spedire messaggi
codificati "a basso livello" in PDU).

4) varie ed eventuali... (eavesdropping di comunicazioni GSM?).

C'e' cmq da dire che l'idea e' carina e potrebbe valere la pena di
sviluppare/usare qualcosa del genere, anche solo per diletto. C'e' stato
anche un breve thread su BUGTRAQ in merito, per chi fosse interessato.

:raptor

On Fri, 30 Mar 2001, Lorenzo Grespan wrote:

> da bravi italiani sms-dipendenti, ho pensato che questo potesse interessare.. ho gia` scritto al tipo proponendogli di integrarlo con una delle tante interfacce web per mandare sms, stiamo a vedere
>
>
> http://developers.of.pl/projects/smsotp/
>
>
> per ora supporta solo i nokia (gnokii) col cavo seriale, per questo pensavo al web.
>
>
> saluti
>
> lorenzo
>
> ________________________________________________________
> http://www.sikurezza.org - Italian Security Mailing List
>
>

Antifork Research, Inc.                         @ Mediaservice.net Srl
http://www.0xdeadbeef.eu.org                    http://www.mediaservice.net

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Data:
- precedente: Re: [lluzar@developers.of.pl: Re: smsotp], Giacomo Cariello
- successivo: ATM & don't fragment, Kundera
- indice

Argomento:
- precedente: Re: one-time passwords via sms, Mav
- successivo: Re: [lluzar@developers.of.pl: Re: smsotp], Giacomo Cariello
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005