Abuse Melding

Je hebt een klacht over de onderstaande posting:

13-01-2020, 10:37 door Erik van Straten

Door Anoniem: Een aanvaller die beschikt over de SMS challenge verzonden aan de gebruiker, en het door de gebruiker berekende modificatie kan het 'tweede password' reconstrueren voor een (latere) attack. Klopt, het is evident dat een aanvaller het "wijzigingsgetal" kan reconstrueren indien hij zowel het SMS-bericht als het ingevoerde resultaat van de berekening kan onderscheppen. Maar dat zien wel twee losstaande factoren - mits men mijn waarschuwingen in acht neemt (onder meer niet de login-pagina de berekening laten uitvoeren en niet dezelfde smartphone gebruiken voor SMS-ontvangst en om in te loggen). Is het dan perfect? Nee natuurlijk niet. Wellicht had ik moeten verduidelijken dat ik niet claim dat SMS 2FA plus mijn voorstel beter is dan welke andere 2FA methode dan ook. Wat ik nastreef is dat als je als organisatie SMS 2FA afdwingt (in elk geval voor mensen zonder smartphone), gebruikers die voor die tweede factor niet voor 100% afhankelijk willen zijn van de grillen van hun telecomprovider ([7] ...

Beschrijf je klacht (Optioneel):

captcha