Συγκεκριμένα το A2P είναι...πιο μεγάλος κλάδος από ότι φαντάζονται οι περισσότεροι. Συνήθως παίζει στα 40-50 δις δολλάρια ετήσιο revenue. Ακόμα και εφαρμογές που χρησιμοποιούν authenticators, πολλές φορές έχουν fallback σε sms. Επίσης, πολλοί το χρησιμοποιούν για ενημέρωση, όχι authentication ( π.χ. κινήσεις σε τράπεζα, εκτέλεση συνταγών, κτλ ).
Ακριβώς επειδή υπάρχει χρήμα, τον τελευταίο καιρό ( 1-2 χρόνια ) έχουν μπει στο μάτι διάφορων που είτε προσπαθούν να τους κλέψουν δεδομένα, ή να τους εκβιάσουν με επιθέσεις τύπου ddos.Δεν υπήρχε πρόσφατα θέμα πάλι με εταιρία SMS; Πριν 2-3 μήνες το πολύ;
Εμφάνιση 16-19 από 19
-
08-10-21, 12:31 Απάντηση: Re: Απάντηση: Μεγάλη εταιρεία δρομολόγησης μηνυμάτων SMS θύμα πενταετούς παραβίασης #16In theory, practice is the same as theory.
In practice, it isn't.
-
08-10-21, 12:37 Απάντηση: Μεγάλη εταιρεία δρομολόγησης μηνυμάτων SMS θύμα πενταετούς παραβίασης #17
- Εγγραφή
- 08-01-2004
- Περιοχή
- Espoo, FI
- Ηλικία
- 51
- Μηνύματα
- 20.944
- Downloads
- 41
- Uploads
- 0
- Άρθρα
- 4
- Τύπος
- FTTH
- Ταχύτητα
- 1000/400
- ISP
- Elisa
- Router
- pfsense
Ωραίο το Aegis, δεν το ήξερα. Ευχαριστούμε @maxie!
Στην παραπάνω λίστα θα πρόσθετα (για λόγους προσωπικής παράνοιας...): να μην κάνει μόνο του sync/upload/backup σε δικό του cloud.Ανυπόγραφος
-
08-10-21, 14:20 Απάντηση: Μεγάλη εταιρεία δρομολόγησης μηνυμάτων SMS θύμα πενταετούς παραβίασης #18
Α, είμαστε πολλοί! Θα 'χουμε πολλά να λέμε.
Ξέχασα να αναφέρω το δεύτερο σημαντικότερο όταν κοιτάω σε ένα πρόγραμμα ή εφαρμογή. Να δουλεύει εκτός σύνδεσης και να μην απαιτείται η σύνδεση στο ίντερνετ, να είναι μόνο προαιρετική υπό προϋποθέσεις.
Οπότε ενημερώνω τη λίστα:
1. Να είναι ανοιχτού κώδικα
2. Να έχει πολύ καλή ανάπτυξη, τεκμηρίωση και υποστήριξη
3. Να είναι τοπικής χρήσης και αποθήκευσης, δηλαδή να μην απαιτείται η χρήση ή και σύνδεση στο ίντερνετ παρά μόνο από επιλογή του χρήστη
4. Να παρέχει τη δυνατότητα να γίνεται εισαγωγή και εξαγωγή των κλειδιών
5. Να παρέχει δυνατότητες ασφάλειας, όπως κλείδωμα με κωδικό ή με βιομετρικά στοιχεία, προστασία από στιγμιότυπα οθόνης (screenshots) κ.α.
6. Να είναι διαθέσιμο στο αποθετήριο F-Droid ή να μπορείς να κατεβάσεις το APK από επίσημο χώρο, όπως από την ιστοσελίδα του ή από το αποθετήριο ανάπτυξης κώδικα, GitHub, κ.α.
Το μόνο αρνητικό με το Aegis είναι ότι δεν έχει εικονίδια, οπότε θα πρέπει να κατεβάσεις ένα πακέτο από το https://aegis-icons.github.io/ και τα εισάγεις.
Όλα τα προηγούμενα κριτήρια που ανέφερα, μαζί με το δικό σου, τα καλύπτει. Οπότε είναι ο ιδανικός 2FA authenticator. Ακόμη και ο συντηρητής του andOTP, μιας αντίστοιχης γνωστής εφαρμογής, παραδέχεται ότι το Aegis είναι καλύτερο σε θέμα κρυπτογράφησης .
Για το θέμα του νήματος, η πιστοποίηση SMS είναι πολύ μεγάλη ευπάθεια. Για χρόνια διαβάζω και αναφέρω σε συζητήσεις ότι τα SMS που διαχειρίζονται από τους παρόχους τηλεπικοινωνίας και κυρίως από τις εταιρίες δρομολόγησης, αποτελούν σημαντικό "αδύναμο" κρίκο στην αλυσίδα της ασφάλειας.
Την τελευταία πενταετία έχουν αρχίσει να απαξιώνονται λόγω της χρήσης των εφαρμογών άμεσων μηνυμάτων, κυρίως από τους ανήλικους, και καιρός είναι να απαξιωθούν εντελώς με την κατάργησή τους, κάτι που δε βλέπω να γίνεται στο εγγύς μέλλον.
Οι τράπεζες στην Ελλάδα, πέρα του ότι είναι ουραγοί σε θέματα ασφάλειας, προτιμούν το SMS για την ταυτοποίηση του προσώπου, κάτι που σε εφαρμογή authenticator δεν γίνεται. Εν μέρει έχουν ένα δίκιο, αλλά φυσικά δεν τους κάνει σωστούς. Από την άλλη, χρήστες που δεν έχουν πρόσβαση στο δίκτυο κινητής (δεν υπάρχει καλή κάλυψη, περιοχή με αδύναμο σήμα, φραγή του αριθμού από τον πάροχο) οι εφαρμογές 2FA είναι η λύση. Το πιο πιθανό, αλλά δύσκολο και ασύμφορο είναι να έχουν πιστοποίηση μέσω των εφαρμογών τους.
Από τη στιγμή που για τη διαχείριση κωδικών 2FA γίνεται και από προγράμματα σε όλα τα λειτουργικά συστήματα, δεν φαντάζει πολυτέλεια ή αποκλειστικότητα για χρήση μόνο από φορητές συσκευές σε Android και iOS
Πολλοί αναφέρουν αν γίνεται η αποστολή σε εφαρμογές άμεσων μηνυμάτων όπως Viber, WhatsApp, Telegram. Δεν ξέρω αν το γνωρίζετε αλλά υπάρχει το Matrix, ανοιχτό πρωτόκολλο με τη δυνατότητα διασυνδέσεων, τα λεγόμενα "MatrixBridges", με άλλα πρωτόκολλα, όπως αυτά που προανέφερα. Δηλαδή είναι ένα ανοιχτό, ελεύθερο, ομόσπονδο δίκτυο που δεν περιορίζεται καθώς ο καθένας μπορεί να στήσει κόμβο και να το διαμορφώσει όπως επιθυμεί. Υπάρχουν case studies που αποδεικνύουν ότι είναι ώριμο και λειτουργικό.
Και τελειώνω γράφοντας ότι υπάρχει και Matrix Bridge για SMS.
-
08-10-21, 15:10 Απάντηση: Μεγάλη εταιρεία δρομολόγησης μηνυμάτων SMS θύμα πενταετούς παραβίασης #19
Bookmarks