L'envoi de mots de passe via des messages texte de téléphone portable est-il sécurisé?

Ce n'est absolument pas sûr. Les messages texte fonctionnent essentiellement de la même manière que les e-mails: votre client (téléphone) les transfère à un serveur, qui recherche ensuite une destination qui peut se trouver sur un autre réseau (opérateur), puis les envoie où ils se trouvent dans une boîte aux lettres jusqu'à ce qu'un le téléphone l'obtient.

N'importe où le long du chemin, il peut être copié, conservé plus longtemps que prévu, etc. Interception légale, interception illégale, téléphones clonés, comptes Google+, etc. il.

Un texte clair est un texte compromis. Toujours.

L'envoi du mot de passe par SMS/SMS était, pour autant que je sache, initialement destiné à être utilisé pour garantir que le mot de passe est entré sur un support différent de celui du fichier crypté pour lequel vous receviez le mot de passe.

Un fichier crypté serait envoyé par e-mail et l'utilisateur recevrait un sms en texte brut sur son téléphone avec un mot de passe. Cela nécessiterait un voleur pour voler à la fois votre ordinateur portable (ou l'accès à la boîte de réception e-mail) ainsi que votre téléphone (ou l'accès à la boîte de réception SMS de votre téléphone) afin d'avoir à la fois un fichier et un mot de passe.

Actuellement, les smartphones sont souvent configurés pour agir également comme des boîtes aux lettres, ce qui signifie que, même si vous les envoyez sous forme de SMS, vous aurez toujours à la fois la clé et le message crypté sur le même appareil. Si le téléphone est par la suite volé et que l'e-mail réside toujours dans la boîte de réception accessible depuis l'appareil, cela signifie simplement que le voleur doit également vérifier vos messages texte envoyés à peu près au même moment et probablement du même contact pour les mots de passe s'il veut l'ouvrir.

Ainsi, bien que l'envoi de mots de passe en texte brut n'ait jamais été sécurisé, cela a assez bien fonctionné dans le passé pour nous. Le fait que nous perpétuons toujours cette habitude maintenant que bon nombre de nos téléphones sont également des boîtes de réception de courrier électronique mobiles est cependant un peu pire, je suppose?

"Sécurisé" n'est pas un absolu. C'est une erreur de penser en termes de sécurisation ou de non sécurisation. Vous devez évaluer la sécurité dans son contexte - qui sont les utilisateurs, quelle est la menace, quelle est la valeur de la chose à protéger, etc. Quels sont tous les contrôles en place? Le message texte est-il le seul élément d'information requis ou fait-il simplement partie d'une chaîne d'authentification/d'autorisation?

D'autres réponses ont souligné que les messages SMS normaux sont très similaires aux e-mails en ce sens que vous n'avez pas de connaissances ni de contrôle sur les serveurs par lesquels le message passe et, par conséquent, la connaissance de la fiabilité des entreprises, des administrateurs système, etc. . Vous ne pouvez pas connaître le niveau de surveillance gouvernementale, etc.

Il existe un certain nombre d'articles récents sur les échecs de l'authentification en deux étapes qui utilisent des messages SMS pour envoyer un code supplémentaire qui doit être entré. En fait, ce n'est pas à proprement parler une authentification à deux facteurs, mais plutôt une authentification en deux étapes, mais c'est une autre histoire.

Le `` fil conducteur '' commun dans ces hacks qui ont réussi à vaincre l'authentification en deux étapes ne concerne pas le fait que le message SMS soit intercepté ou volé en transit - il est en fait beaucoup plus simple et utilise l'approche la plus simple et la moins technologique - ingénierie sociale. Fondamentalement, ces systèmes ont été contournés simplement en contactant le fournisseur de cellule des destinataires et en les convaincant, à travers diverses techniques d'ingénierie sociale, qu'ils sont le propriétaire légitime et doivent faire transférer leur numéro vers un nouveau téléphone - généralement un téléphone de graveur. Une fois cela fait, le message SMS est simplement redirigé vers le téléphone du graveur des méchants et peu importe la sécurité ou non du processus de transport. C'est pourquoi, si vous êtes vraiment inquiet, vous devriez opter pour une solution qui n'utilise pas de SMS, préférant quelque chose comme l'authentificateur Google fonctionnant sur votre appareil. Comme d'habitude, tout cela est un jeu entre commodité et niveau de menace. Pour beaucoup de gens, SMS peut être suffisant, mais pour d'autres qui sont plus susceptibles d'être ciblés, c'est un risque trop élevé et comme mentionné par d'autres, le but/type du SMS le message est également pertinent - un mot de passe complet qui donne un accès complet sans aucune autre information requise est un risque beaucoup plus élevé qu'un jeton unique avec une durée de vie/utilisation limitée qui n'est qu'une partie d'une chaîne de choses qui doivent être utilisées pour pour y accéder.

Voici un résumé intéressant du cryptage GSM des messages texte: À quel point est-il difficile d'intercepter SMS (authentification à deux facteurs)?

D'après ce que je comprends, les messages texte sont cryptés lorsqu'ils passent dans les airs. La carte SIM fournit des informations pour crypter le message et le fournisseur de cellule dispose des informations nécessaires pour le décrypter. (Il est récemment apparu que le NSA avait piraté les bases de données du fabricant d'environ 90% de toutes les cartes SIM dans le monde, une société aux Pays-Bas appelée Gemalto, et a accroché les données nécessaire pour décrypter les messages texte de toutes les cartes SIM produites par le fabricant).

Le fournisseur de services fait alors tout ce qu'il doit faire pour envoyer le message texte à sa destination prévue, et je n'ai aucune idée si cela implique ou non le chiffrement. Il est différent de l'e-mail en ce sens que les messages texte transitent par les réseaux d'un ou de plusieurs fournisseurs de services pour être livrés et qu'il est crypté à ses points les plus vulnérables lorsqu'il passe dans les airs où n'importe qui pourrait l'intercepter.

Les SMS sont également différents des e-mails en ce sens qu'ils ne transitent pas sur Internet comme les e-mails où tout le monde peut les regarder passer. Les fournisseurs de services et les organisations gouvernementales comme le NSA pourraient facilement l'obtenir en ayant une présence dans le réseau du fournisseur de services, mais votre acteur malveillant moyen ne serait probablement pas en mesure de pénétrer dans le réseau du fournisseur de services Tant que vous faites confiance aux fournisseurs de services (le vôtre et le fournisseur à la destination), vous n'avez pas peur que les organisations gouvernementales prennent votre mot de passe, et vous êtes pratiquement sûr que personne d'autre ne lira le téléphone du destinataire, alors je pense que l'envoi un mot de passe par texte n'est pas un problème, c'est un mécanisme de livraison très différent des e-mails.

Avec iMessage (l'application de texte standard) sur iPhone et iPad, les messages sont cryptés en toute sécurité de l'expéditeur au destinataire. Les messages sont cryptés à l'aide de la clé publique du destinataire et ne peuvent être décryptés qu'à l'aide de la clé privée du destinataire, que seul le destinataire possède. Je noterai qu'il est théoriquement possible pour iMessage de crypter également avec une clé publique spéciale à laquelle Apple ou NSA a accès pour que ces messages puissent également être lu par eux, mais seul le détenteur de la clé privée pourrait la déchiffrer. Apple prétend qu'il ne fait rien de tel, donc tant que vous faites confiance à Apple, personne ne peut lire La fonctionnalité de chiffrement iMessage n'est utilisée que lorsque l'expéditeur et le destinataire utilisent des produits Apple.

Il existe également des produits de messagerie sécurisés garantis comme Threema, où l'accent est mis sur le cryptage que personne d'autre que le destinataire ne peut décrypter, mais c'est exagéré pour l'envoi de mots de passe à mon avis.

L'une des affiches ci-dessus est correcte dans la mesure où la sécurité n'est pas une question oui/non. C'est un spectre allant de extrêmement peu sûr à très sécurisé. La sécurité des véritables paranoïaques est très difficile, il vous suffit donc de choisir quelque chose qui vous convient.

Non.

Les réponses ci-dessus l'ont cloué. Il existe des moyens de bluesnarf un téléphone portable si le Bluetooth est activé - laissant votre téléphone compromis. Il existe également des moyens de récupérer des textes supprimés, des photos, des données sur un téléphone portable en utilisant FTK ou tout autre outil de criminalistique numérique décent si quelqu'un a un accès physique au téléphone.