On the (In)Security of Mobile Two-Factor Authentication

Dmitrienko, Alexandra; Liebchen, Christopher; Rossow, Christian; Sadeghi, Ahmad‐Reza

doi:10.1007/978-3-662-45472-5_24

Cited by 67 publications

(47 citation statements)

References 12 publications

Supporting

Mentioning

Contrasting

Unclassified

Order By: Relevance

“…Google Authenticator (GA) is mobile software that generates offline authentication codes that are used as a second authentication token; such that when the user access his account, he is requested to enter the generated code in addition to his credentials. Dmitrienko et al [18] performed a security analysis that concluded that such schemes are vulnerable to attacks especially in the registration phase; a PC standing malware can intercept the QR code that encapsulates the pre-shared secrets, then the attacker can initialize his own version of GA and thus being able to generate valid authentication codes for the compromised account. Czeskis et al proposed PhoneAuth [19], a 2FA scheme in which the user mobile is considered a second authentication factor in addition to the user credentials; the user is authenticated after signing the login ticket (generated by the server) with the client private key that resides in the user' mobile.…”

Section: Related Workmentioning

confidence: 99%

A Bastion Mobile ID-Based Authentication Technique (BMBAT)

Abuhasan¹,

Yasin²

2016

IJNSA

View full text Add to dashboard Cite

show abstract

Section: Related Workmentioning

confidence: 99%

A Bastion Mobile ID-Based Authentication Technique (BMBAT)

Abuhasan¹,

Yasin²

2016

IJNSA

View full text Add to dashboard Cite

show abstract

Section: ключевые слова: мобильная безопасность моделирование атак unclassified

“…Тем не менее злоумышленниками разрабатываются новые программы, позволяющие обходить эти защитные меры. Примером является вредоносная программа ZitMo (Zeus-in-the-MObile), способная обходить двухфак-торную проверку подлинности [2].Для оценивания риска мобильных банковских атак необходимы аналитические модели, позволяющие исследовать вероятностные параметры атак. Среди различных подходов к по-строению вероятностных моделей атак в последнее время все большую популярность приоб-ретает метод, основанный на преобразовании стохастических сетей [3], отличающийся высо-кой точностью и устойчивостью.…”

unclassified

Application of stochastic networks conversion technique for simulation of mobile banking attacks

Saenko¹,

Lauta²,

Kotenko³

2016

Izv. vysš. učebn. zaved., Priborostr.

View full text Add to dashboard Cite

Предложен подход к моделированию мобильных банковских атак, основанный на методе преобразования стохастических сетей, достоинствами которого яв-ляются достаточно высокая скорость моделирования, а также высокая досто-верность и чувствительность результатов к изменению исходных данных. При-ведены результаты экспериментальной оценки, подтверждающие достаточно высокую эффективность метода. Ключевые слова: мобильная безопасность, моделирование атак, мобильные банковские атаки, стохастические сети, преобразование ЛапласаВведение. В настоящее время участились атаки злоумышленников на мобильные уст-ройства, при этом используются новые угрозы их безопасности. Известно более 650 тыс. от-дельных образцов вредоносного программного обеспечения для платформы Android [1], сре-ди которых наиболее распространенными являются SMS-трояны, рекламные модули и экс-плойты для получения доступа root-уровня.Многие коммерческие банки и платежные системы предлагают различные способы за-щиты мобильных финансовых операций пользователей. Тем не менее злоумышленниками разрабатываются новые программы, позволяющие обходить эти защитные меры. Примером является вредоносная программа ZitMo (Zeus-in-the-MObile), способная обходить двухфак-торную проверку подлинности [2].Для оценивания риска мобильных банковских атак необходимы аналитические модели, позволяющие исследовать вероятностные параметры атак. Среди различных подходов к по-строению вероятностных моделей атак в последнее время все большую популярность приоб-ретает метод, основанный на преобразовании стохастических сетей [3], отличающийся высо-кой точностью и устойчивостью. Применение этого подхода для построения и исследования аналитической модели мобильной банковской атаки на примере программы ZitMo обсуждается в настоящей статье.Обзор публикаций. Стохастическое аналитическое моделирование лежит в основе функ-ционирования многих систем моделирования дискретных событий, например COMNET [4]. Однако эта система предназначена для моделирования сетей массового обслуживания, что требует значительных вычислительных затрат.В работах [5, 6] рассмотрена система CAMIAC (Cyber Attack Modeling and Impact Assessment Component), основанная на анализе графов атак и стохастической имитации атак и контрмер. Моделирование в этой системе не позволяет, однако, получить функции распре-деления времени атаки. Такой же недостаток присущ и подходам, предложенным в работах [7,8], в которых учитывается распространение атак по параллельным ветвям, рассматривают-

show abstract

“…Mulliner et al [22] have contented that SMS OTP schemes cannot be considered to be secure, as researchers have shown several successful attacks against Global System for Mobile Communications (GSM) and 3G networks [1,12,19]. Furthermore, it has been argued that two, or three, factor authentication does not overcome man-in-the-middle and Trojan attacks [10,26,27]. This paper investigates the challenging problem of user authentication and transaction verification on an untrusted computer or device.…”

Section: Introductionmentioning

confidence: 99%

Authentication and Transaction Verification Using QR Codes with a Mobile Device

Chow

Susilo

Yang

et al. 2016

Security, Privacy, and Anonymity in Computation, Communication, and Storage

View full text Add to dashboard Cite

User authentication and the verification of online transactions that are performed on an untrusted computer or device is an important and challenging problem. This paper presents an approach to authentication and transaction verification using a trusted mobile device, equipped with a camera, in conjunction with QR codes. The mobile device does not require an active connection (e.g., Internet or cellular network), as the required information is obtained by the mobile device through its camera, i.e. solely via the visual channel. The proposed approach consists of an initial user authentication phase, which is followed by a transaction verification phase. The transaction verification phase provides a mechanism whereby important transactions have to be verified by both the user and the server. We describe the adversarial model to capture the possible attacks to the system. In addition, this paper analyzes the security of the propose scheme, and discusses the practical issues and mechanisms by which the scheme is able to circumvent a variety of security threats including password stealing, man-in-the-middle and man-in-the-browser attacks. We note that our technique is applicable to many practical applications ranging from standard user authentication implementations to protecting online banking transactions. Abstract. User authentication and the verification of online transactions that are performed on an untrusted computer or device is an important and challenging problem. This paper presents an approach to authentication and transaction verification using a trusted mobile device, equipped with a camera, in conjunction with QR codes. The mobile device does not require an active connection (e.g., Internet or cellular network), as the required information is obtained by the mobile device through its camera, i.e. solely via the visual channel. The proposed approach consists of an initial user authentication phase, which is followed by a transaction verification phase. The transaction verification phase provides a mechanism whereby important transactions have to be verified by both the user and the server. We describe the adversarial model to capture the possible attacks to the system. In addition, this paper analyzes the security of the propose scheme, and discusses the practical issues and mechanisms by which the scheme is able to circumvent a variety of security threats including password stealing, man-in-the-middle and man-in-the-browser attacks. We note that our technique is applicable to many practical applications ranging from standard user authentication implementations to protecting online banking transactions.

show abstract

On the (In)Security of Mobile Two-Factor Authentication

Cited by 67 publications

References 12 publications

A Bastion Mobile ID-Based Authentication Technique (BMBAT)

A Bastion Mobile ID-Based Authentication Technique (BMBAT)

Application of stochastic networks conversion technique for simulation of mobile banking attacks

Authentication and Transaction Verification Using QR Codes with a Mobile Device

Contact Info

Product

Resources

About