▲neo 5달전 | parent | favorite | on: GN⁺: 2차 인증 SMS: 평판보다 더 나쁜 보안 방법(ccc.de)Hacker News 의견 가족 친구가 Google Ads를 통해 유도된 피싱 공격에 당한 경험을 공유함 공격자는 "BANKNAME login" 같은 검색어로 광고를 냄 가짜 사이트에 2fa 코드를 입력했지만, 두 번째 코드를 요구받음 두 번째 코드는 새로운 "pay anyone" 수신자를 추가하는 데 사용됨 결국 돈을 잃었지만 나중에 되찾음 두 개의 은행 계좌를 가지고 있으며, 하나는 SMS 2fa를 사용하고 다른 하나는 앱을 사용함 앱이 기본적으로 더 안전하다고 생각했지만, 특정 상황에서는 SMS가 더 나을 수 있음 이상적인 2fa는 거래 유형에 따라 다른 토큰을 생성하는 것임 SMS 2FA를 강제하는 회사들은 보안에 신경 쓰지 않고 전화번호를 원한다고 의심함 NIST는 SMS 2FA를 사용하지 말라고 권고함 많은 은행들이 루팅된 폰에서 앱을 실행하지 않기 때문에 SMS 2FA를 강제함 ChatGPT 4를 사용해 은행 웹사이트의 스크린샷을 분석해 피싱 여부를 확인해봄 URL의 한 글자를 변경하자 피싱 시도로 인식함 스크린샷을 자동으로 분석해 합법적인지 여부를 모델이 판단할 수 있음 영국에서는 거의 모든 온라인 은행 거래가 SMS로 검증됨 법적으로 요구되는 것 같음 이전의 카드 + 카드 리더기 + 핀 검증 시스템이 더 안전했음 이 시스템이 잘못된 선택임을 인식하고 수정되기를 희망함 기사에서 두 가지 다른 보안 문제를 혼동하고 있음 "1-click login" 링크는 SMS 접근만으로도 위험함 2FA 코드는 두 번째 요소로, 비밀번호도 필요하기 때문에 덜 걱정됨 스웨덴은 BankID로 이 문제를 해결함 공공 및 민간 기관 간의 협력으로 가능해짐 정부 서비스와 대부분의 은행에서 로그인과 2fa에 사용됨 다른 나라나 EU 전체에 이런 시스템이 없는 것이 놀라움 S3 버킷의 메시지가 5분마다 업데이트됨 Twilio Verify(2FA API)뿐만 아니라 이 벤더를 통해 전송된 모든 SMS가 영향을 받음 여러 금융 기관이 SMS 2FA를 요구하며, HOTP/TOTP 옵션을 제공하지 않음
Hacker News 의견
가족 친구가 Google Ads를 통해 유도된 피싱 공격에 당한 경험을 공유함
두 개의 은행 계좌를 가지고 있으며, 하나는 SMS 2fa를 사용하고 다른 하나는 앱을 사용함
SMS 2FA를 강제하는 회사들은 보안에 신경 쓰지 않고 전화번호를 원한다고 의심함
ChatGPT 4를 사용해 은행 웹사이트의 스크린샷을 분석해 피싱 여부를 확인해봄
영국에서는 거의 모든 온라인 은행 거래가 SMS로 검증됨
기사에서 두 가지 다른 보안 문제를 혼동하고 있음
스웨덴은 BankID로 이 문제를 해결함
S3 버킷의 메시지가 5분마다 업데이트됨
여러 금융 기관이 SMS 2FA를 요구하며, HOTP/TOTP 옵션을 제공하지 않음