短信作为身份认证第二要素的安全性分析

2020年9月22日第18卷第4期基于SMS的多因素身份验证的挑战，包括蜂窝安全缺陷、SS7漏洞和SIM交换。

90年代中后期，互联网开始成为家庭PSTN(公共交换电话网)线路忙碌的主要原因。在接下来的十年里，一些在线服务彻底改变了社会与技术的互动。从电子邮件到电子商务的曙光，这些服务越来越多地将人们与技术和互联网联系在一起。

虽然密码的概念在许多技术学科和领域都很流行，但普通公众对它知之甚少，除了借记卡的个人识别码。是互联网向他们介绍了密码安全的概念。从那时起，人们意识到他们必须记住密码才能访问自己的电子邮件账户、喜爱的电子商务网站等。

当时，只需要一个密码就可以解锁一个账户，而且密码要求非常宽松。网络安全格局远没有现在这样具有挑战性，特别是在消费者账户安全方面。某些行业也有例外，比如银行业，那里的密码要求稍微严格一些，在成为其他网站的选项之前，主要基于IP地理位置的隐藏形式的双因素身份验证已经被使用。尽管如此，普通消费者通常只需要一个简单的密码就可以访问高度关键的数据存储库，而且相同的密码经常被多个帐户重复使用。

今天，互联网安全需要更多的关注。《连线》(Wire)的一名科技记者详细描述了黑客的磨难，他没有对自己的电子邮件账户使用双因素身份验证，这就是可能出错的一个很好的例子。多年来，8个电子邮件账户不仅成为高度敏感和隐私数据的大型储存库，而且还成为互联网上数字足迹的单点故障。例如，大多数在线服务允许通过向用户的主电子邮件帐户发送电子邮件来重置密码。因此，如果一个电子邮件账户被攻破，其他许多账户也可能在短时间内被攻破。

随着安全威胁环境的变化，密码的使用方式及其复杂性要求也发生了变化。虽然许多在线服务并没有真正遵守最佳实践，但人们普遍认为，密码应该非常复杂，以便最大限度地增加其熵，从而大大增加破解密码所需的时间。

然而，最终，一些科学研究12，29和一幅病毒式的在线卡通30认为，增加密码的复杂性并不是正确的解决方案。密码短语被证明具有更高的熵，并且更容易记忆。另一方面，强制密码轮换，再加上严格的密码复杂性策略，已被证明会导致更弱的密码。此外，作为一个经验法则，现在人们承认，如果密码不存在于任何公开的泄露凭证储存库中，那么它可能不一定需要轮换。10个。

除了使密码安全但仍可使用和易于记忆这一持续不断的挑战之外，安全行业认识到，在线账户的安全不应该只由你知道的东西(你的密码)来保护。与要求用户拥有某些东西(例如借记卡)和一些用户知道的东西(例如卡的PIN)的银行方法有点类似，在线账户开始支持，在某些情况下还强制使用双因素身份验证。第二个因素必须是用户拥有的东西--显而易见且简单的选择从一开始就很清楚：用户的智能手机。

启用在线帐户的双因素身份验证对其安全性至关重要。每个人都应该(至少)在自己的电子邮件帐户以及其他存储关键和敏感数据(如信用卡号码)的帐户中启用此功能。加密货币兑换账户通常是网络罪犯的目标，也应该通过多种形式的身份验证来保护。这些帐户所保护的内容的潜在高货币价值使它们成为一个有趣的案例，研究什么可能是第二种身份验证的最佳选择。例如，虽然短信(短消息服务)作为第二种身份验证形式对于某些类型的在线账户来说是一个好主意，但对于那些在在线交易中拥有大量加密货币的人来说却不是最佳选择。3个。

基于SMS的身份验证令牌是保护在线帐户的流行选项，它们肯定比只使用密码更安全。然而，蜂窝网络安全的历史表明，SMS不是一种安全的通信方法。从流氓基站和黄貂鱼到更复杂的攻击，有许多已知的方法可以窃听和暴力破解短信，无论是本地还是远程。因此，对于存储具有高财务价值的资产(如加密货币)的账户来说，这种方法并不是最可靠的。

本文提供了一些基于SMS的多因素身份验证的安全挑战：主要是蜂窝安全缺陷、SS7(7号信令系统)协议中的漏洞，以及被称为SIM(订户身份模块)交换的危险的简单而高效的欺诈方法。基于这些见解，读者可以判断他们的在线账户是否应该使用短信令牌。本文不是对多因素身份验证方法的实际分析，也不是对第二种(或第三种、第四种)身份验证方法的实际分析。身份验证因素；对于这样的讨论，作者建议阅读安全专家特洛伊·亨特(Troy Hunt)关于这一主题的报告。9个。

(全面披露：作者使用短信来保护一些相当普通的在线账户，主要是那些不需要存储信用卡号码或其他敏感金融信息的账户。)。

对于标准的消费者在线账户，提供第二个身份验证因素的两个主要选择通常是通过短信或利用用户智能手机上的应用程序生成的一次性令牌。后者更安全，应该用于高度安全和敏感的账户，但前者是使用最广泛的选项，在某些情况下可能是一个有效的选择。然而，除了安全性之外，这两种选择在便利性和可用性方面各有不同的优势和劣势，这是设计安全系统时需要考虑的重要因素。图1总结了这两种身份验证的优缺点。

如本文通篇所述，由用户设备上的应用程序生成的一次性令牌是实现在线帐户双因素身份验证的最安全方式，而不需要消费者使用非标准硬件(例如，RSA令牌、YubiKey等，它们在企业环境中更为常见)。除此之外，还有很多优点和缺点。

这两种选择的主要考虑因素之一是网络连接。应用程序生成的令牌的便利性(不需要网络连接)与通过SMS接收令牌时需要连接的严格要求形成了鲜明对比。虽然网络连接被认为是一种无处不在的商品，但在许多情况下，用户可能需要在超出范围时访问帐户。

基于APP的代币交付的另一个优势是，这些APP通常可以注册并使用多个在线账户。然而，使用智能手机应用程序生成令牌的主要可用性挑战是，管理这样的应用程序-以及它所利用的加密材料-需要付出一些额外的努力。一般来说，将智能手机备份到云端是最常见的方法，不会将此类加密材料保存为备份数据的一部分。这些材料也不会保存在计算机上未加密的本地备份中。即使使用密码锁定本地备份，也不是所有种子都与密码一起存储。例如，如果用户的智能手机丢失或被盗，或者即使他们买了一部新手机，这可能会导致用户被锁定在他们的账户之外。在这些情况下，所谓的备份代码非常重要。根据经验，在新的智能手机完全设置好并重置双因素身份验证应用程序之前，用户永远不应该擦除旧手机。

通过短信接收的双因素身份验证令牌往往适合标准消费者使用，因为它们对用户来说很容易。不需要在用户的设备上安装应用程序，也不需要对备份代码或备份计划进行任何管理来处理丢失或被盗的设备。当用户获得新设备时，不需要重置双因素身份验证系统，因为短信与电话号码捆绑在一起，而电话号码在新设备上通常保持不变。

缺点是，基于SMS的身份验证需要与蜂窝网络建立活动连接。尽管大多数基于文本消息的通信都是通过IP(如iMessage、WhatsApp等)进行的，但SMS第二要素身份验证令牌通常是通过蜂窝网络标准SMS传递的。因此，仅有Wi-Fi连接是不够的，还需要活动的蜂窝连接。在蜂窝服务参差不齐或不存在或者连接限制在802.11个网络的某些情况下，这可能是具有挑战性的。

尽管存在安全挑战，基于SMS的身份验证令牌仍是一种广泛使用的选项，目前正得到设备制造商的积极支持。例如，苹果最近在iOS14中宣布了一项新功能，可以强化短信代码，防止应用程序试图诱骗用户在恶意应用程序(https://developer.apple.com/news/?id=z0i801mg).)中输入代码。

尽管它的便利性和被大量在线服务使用，但通过文本消息进行的双因素身份验证面临着巨大的安全挑战。本部分概述了使用SMS进行双因素身份验证令牌传递的主要安全挑战。这些威胁从一些复杂的威胁到蜂窝网络协议(要求对手在目标受害者附近)，到低挂果技术(尽管技术上简单得多，但没有射程限制，并且可以几乎零成本实施)不一而足。例如，移动通信系统中最大的安全威胁之一是SIM卡交换，这是一个与移动运营商如何在其客户关怀平台中对用户进行身份验证相关的系统性问题。18岁。

图2总结了三种不同的SMS拦截方法的主要优势和挑战。

第一代移动网络(1G)缺乏对加密的支持。传统的2G GSM(全球移动通信系统)网络缺乏相互认证，并实施过时的加密算法。结合GSM协议栈的开源实现的广泛可用性，这导致在过去十年中发现了GSM无线链路上的许多可能的漏洞23(如图3所示)。具体地说，部署恶意GSM基站和对GSM连接实施全面MITM(中间人)攻击所需的技术和工具都是商品，尽管它们要求对手在物理上接近给定的目标。可以使用低成本的软件无线电和GSM协议栈的开源实现来拦截移动通信，包括SMS消息。22，24。

在过去的几年里，研究人员还演示了如何在不那么严格的邻近限制的情况下，通过在回复给另一个用户的寻呼消息时触发竞争条件来拦截SMS流量。6为了对给定的目标受害者进行地理定位以通过SMS拦截令牌，还在传统GSM网络的上下文中调查了隐私和位置泄漏。17.。

加强3G和LTE(长期演进)移动网络的机密性和认证，在这两个标准中都实施了更强大的加密算法和相互认证。正因为如此，考虑到LTE的相互认证和强大的加密方案，LTE通常被认为是安全的。因此，机密性和认证被错误地认为得到了充分的保障。然而，研究人员在几年前证明，LTE移动网络仍然容易受到协议漏洞、位置泄漏和恶意基站的攻击。14、27

尽管对用户业务和相互认证有很强的密码保护，但是大量的控制面(信令)消息在LTE无线链路上以明文方式定期交换。在执行连接的认证和加密步骤之前，移动设备与用正确的广播信息宣传其自身的任何LTE基站(真实的或欺诈的)进行实质性的对话。从移动设备的角度来看，这导致了对来自基站的消息的隐含信任所造成的严重威胁。当这些隐式信任的消息中的一些消息触发时，许多具有严重安全隐患的操作都会被执行，这些消息既没有经过身份验证，也没有经过验证。

在大规模网络攻击的时代，最大的民用通信系统之一必须依赖更复杂的隐私协议，而不仅仅是固定在看起来像合法基站的基站上的基本隐含信任。请注意，这同样适用于相反的情况，基站隐含地信任来自移动设备的所有预认证消息。

尽管恶意的LTE基站不能发动全面的MITM攻击，但几项研究已经证明了可以悄悄地将现代智能手机降级到易受攻击的GSM连接的技术和原型。13、26、27所有这些技术的共同点是它们利用和滥用这种预认证消息。

随着该行业准备迎接5G的到来，这类下一代移动网络的安全架构正受到密切关注。过去一年的几项研究强调了这样一个事实，即LTE中的大多数基于预认证消息的协议漏洞仍然适用于5G网络。因此，考虑到这种移动通信系统的当前规范，静默地将智能手机的连接降级到GSM链路仍然是可能的。28通过利用这些漏洞，攻击者可以成功拦截通过SMS传送的双因素身份验证令牌。

然而，重要的是要注意，通过截取GSM流量来截取SMS消息中的令牌是技术上最复杂的选择。尽管这类攻击可以通过低成本的软件无线电和对开源工具的微小修改来实施，但绝大多数通过拦截通过SMS传递的身份验证令牌进行的欺诈都利用了SS7或SIM交换中的漏洞。

SS7是30多年前开发的遗留架构和协议。它为PSTN中的许多功能执行带外信令支持，即呼叫建立、计费、路由和信息交换。自1988年移动运营商开始利用它进行带外信令以来，该协议的安全性主要依赖于运营商之间的隐性信任。它被认为是一个封闭的可信网络，并且仅限于没有内置身份验证。因此，该网络和协议的安全功能微乎其微，并且依赖于全球范围内的少数运营商，这些运营商要么是国家控制的，要么是大公司。现在情况不再是这样了，因为由于移动使用量的急剧增加，以及过去十年全球移动虚拟网络运营商(MVNO)数量的增长，运营商的数量要多得多。

3GPP(第三代合作伙伴计划)在20世纪90年代和21世纪头10年为七号信令增加了两个新协议：MAP(移动应用部分)和CAMEL(移动网络增强逻辑定制应用)。这些服务旨在支持移动网络提供的一些新服务，以及为移动运营商提供的新功能。19除其他功能外，CAMEL还允许实现运营商级增值服务，如欺诈控制和预付费服务。同时，MAP向全球范围内的地理定位设备提供服务，例如anyTimeInterrogation服务和LCS(位置服务)。令人沮丧的是，这些新的SS7子协议都没有添加身份验证或安全功能。

研究人员已经确定了SS7中的一些关键安全漏洞，这些漏洞可以被利用来对用户进行地理定位，并从几乎任何地方拦截他们的流量。5在某些情况下，唯一的要求是能够接入七号信令网络，尽管现在比过去更加受限，但仍然可以很容易地在暗网上购买。研究人员还通过黑客入侵的毫微微蜂窝获得了接入SS7网络的权限，在某些罕见的情况下，他们实际上是从移动运营商那里购买了接入。

更糟糕的是，研究人员还通过利用CAMEL协议中的缺陷，展示了远程拦截电话和短信的技术。图4说明了此过程。当一名德国研究人员在黄金时段的电视新闻报道中展示了这些攻击时，移动通信网络中的此类安全威胁引起了公众的广泛关注。1个。

一旦攻击者访问了SS7网络的入口点，在GSM的情况下，只需要一条消息来修改MSC(移动交换中心)中给定目标的注册。从那一刻起，MSC将转而联系攻击者。

现代LTE网络在很大程度上将大多数基于SS7的服务迁移到Diameter协议。这个新协议虽然有了一些改进，但仍然存在一些漏洞，其中大部分是从SS7继承而来的缺陷。因此，在LTE中，类似的远程拦截呼叫和文本消息也是可能的。无论如何，正如前面讨论的那样，考虑到距离目标足够近，悄悄地将智能手机降级到安全程度低得多的GSM连接是很简单的。

利用SS7网络及其协议中的安全漏洞是拦截通过SMS传递的双因素身份验证令牌的一种相当有效的方式。总体而言，这是一种攻击载体，以被黑客组织使用而闻名，而且已经变得如此重要，以至于它甚至被认为是MITRE ATT&；CK框架的一部分，该框架已被许多科技公司广泛采用，作为其安全姿态的一部分。20个。

尽管利用蜂窝网络协议和传统SS7网络中的缺陷的SMS拦截技术是有效的，但SIM交换可以说是针对SMS通信的头号安全威胁，SMS通信被用来传递用于多因素身份验证的一次性令牌。

如图5所示，SIM卡交换攻击包括欺骗移动运营商(通常是通过与客户服务人员的电话)，使其认为手机订阅的合法所有者需要将帐户移植到新的SIM卡。例如，呼叫者可能声称手机在海外丢失，需要尽快恢复对新购买的手机和新SIM卡的访问。这样一个故事的可信度实际上并不那么重要；SIM体育攻击。

.