ธนาคารในเยอรมนี เตรียมเลิกใช้ OTP ผ่าน SMS เพราะไม่ปลอดภัยเพียงพอ

By mk Founder on Tag: Germany, Banking, Authentication, SMS, Security
Germany

ธนาคารของเยอรมนีหลายราย ประกาศแผนการเลิกใช้ระบบยืนยันตัวตนแบบ OTP ผ่าน SMS เนื่องจากเป็นวิธีการยืนยันตัวตนที่ "ไม่ปลอดภัย" ซะแล้ว

การขยับตัวของธนาคารในเยอรมนี เป็นผลมาจากกฎหมาย Payment Services Directive (PSD) ของสหภาพยุโรปที่ออกในปี 2015 และมีผลบังคับใช้ในวันที่ 14 กันยายนปีนี้ ซึ่งกฎหมายระบุว่าธนาคารต้องใช้วิธีการยืนยันตัวตนที่ผ่านมาตรฐาน strong customer authentication (SCA) ที่แข็งแกร่งเพียงพอ

ตัวอย่างวิธีการยืนยันตัวตนที่ผ่านมาตรฐาน SCA คือ การใช้รหัสผ่าน, PIN, passphrase, การตอบคำถามที่อิงกับความรู้, การลากนิ้วเป็นเส้น

ส่วนวิธีการยืนยันตัวตนที่ไม่ผ่านมาตรฐานคือ การใช้ user name, email address, ข้อมูลบนบัตรเครดิต/เดบิต และการใช้รหัส OTP ที่ส่งผ่าน SMS


ภาพจาก [Android Messages](https://play.google.com/store/apps/details?id=com.google.android.apps.messaging&hl=en)

เหตุผลที่การใช้รหัส OTP ผ่าน SMS ไม่ปลอดภัย เป็นเพราะที่ผ่านมา มีการขโมย SMS ผ่านเทคนิคต่างๆ เช่น SIM Swapping หรือวิธีพื้นฐานอย่าง social engineering โดยมาตรฐานการยืนยันตัวตนของ NIST ฝั่งอเมริกาก็จัดการยืนยันตัวตนผ่าน SMS อยู่ในกลุ่ม restricted ที่จำกัดการใช้งานเช่นกัน

ธนาคารที่ประกาศเรื่องนี้แล้วคือ Postbank, Raiffeisen Bank, Volksbank, Deutsche Bank, Commerzbank, Consorsbank โดยส่วนใหญ่จะย้ายไปใช้ระบบ token generator ที่ทำงานได้แบบออฟไลน์แทน

ที่มา - ZDNet

Hiring! บริษัทที่น่าสนใจ

Carmen Software company cover
Carmen Software
Hotel Financial Solutions
 Next Innovation (Thailand) Co., Ltd. company cover
Next Innovation (Thailand) Co., Ltd.
We are web design with consulting & engineering services driven the future stronger and flexibility.
 KKP Dime company cover
KKP Dime
KKP Dime บริษัทในเครือเกียรตินาคินภัทร
 Kiatnakin Phatra Financial Group company cover
Kiatnakin Phatra Financial Group
Financial Service
 Fastwork Technologies company cover
Fastwork Technologies
Fastwork.co เว็บไซต์ที่รวบรวม ฟรีแลนซ์ มืออาชีพจากหลากหลายสายงานไว้ในที่เดียวกัน
 Thoughtworks Thailand company cover
Thoughtworks Thailand
Thoughtworks เป็นบริษัทที่ปรึกษาด้านเทคโนโยลีระดับโลกที่คว้า Great Place to Work 3 ปีซ้อน
 Iron Software company cover
Iron Software
Iron Software is an American company providing a suite of .NET libraries by engineer for engineers.
 CLEVERSE company cover
CLEVERSE
Cleverse is a Venture Builder. Our team builds several tech companies.
 Nipa Cloud company cover
Nipa Cloud
#1 OpenStack cloud provider in Thailand with our own data center and software platform.
 Bangmod Enterprise company cover
Bangmod Enterprise
The leader in Cloud Server and Hosting in Thailand.
 CIMB THAI Bank company cover
CIMB THAI Bank
MOVING FORWARD WITH YOU - CIMB is the leading ASEAN Bank
 Bangkok Bank company cover
Bangkok Bank
Bangkok Bank is one of Southeast Asia's largest regional banks, a market leader in business banking
 MuvMi (Urban Mobility Tech Co.,Ltd.) company cover
MuvMi (Urban Mobility Tech Co.,Ltd.)
Shape the future of urban mobility towards affordable, clean, and safe solutions
 T.N. Digital Solution Co., Ltd. company cover
T.N. Digital Solution Co., Ltd.
TNDS has been involving in every first move of banking’s major digital transformation.
 KBTG - KASIKORN Business-Technology Group company cover
KBTG - KASIKORN Business-Technology Group
KBTG - "The Technology Company for Digital Business Innovation"
 Siam Commercial Bank Public Company Limited company cover
Siam Commercial Bank Public Company Limited
"Let's start a brighter career future together"
 Icon Framework co.,Ltd. company cover
Icon Framework co.,Ltd.
Global Standard Platform for Real Estate แพลตฟอร์มสำหรับธุรกิจอสังหาริมทรัพย์ครบวงจร มาตรฐานระดับโลก
 REFINITIV company cover
REFINITIV
The Financial and Risk business of Thomson Reuters is now Refinitiv
 H LAB company cover
H LAB
Re-engineering healthcare systems through intelligent platforms and system design.
 The Gang Technology Co., Ltd. company cover
The Gang Technology Co., Ltd.
We're a Digital Agency that helps our customers transform their business into digital with ease.
 LTMH company cover
LTMH
LTMH มุ่งเน้นการพัฒนาผลิตภัณฑ์ที่สามารถช่วยพันธมิตรของเราให้บรรลุเป้าหมาย
 Seven Peaks company cover
Seven Peaks
We Drive Digital Transformation
 Wisesight (Thailand) Co., Ltd. company cover
Wisesight (Thailand) Co., Ltd.
The Best Choice For Handling Social Media · High Expertise in Social Data · Most Advanced and Secure
 MOLOG Tech company cover
MOLOG Tech
We are Modern Logistic Platform, Specialize in WMS, OMS and TMS.
 Data Wow Co.,Ltd company cover
Data Wow Co.,Ltd
We enable our clients to realize increased productivity by solving their most complex issues by Data
 LINE Company Thailand company cover
LINE Company Thailand
LINE, the world's hottest mobile messaging platform, offers free text and voice messaging + Call
 LINE MAN Wongnai company cover
LINE MAN Wongnai
Join our journey to becoming No.1 food platform in Thailand

Bigkung Sun, 14/07/2019 - 10:59

SIM Swapping นั่นในไทยก็มีแล้ว ที่ขอแจ้งทำซิมใหม่กับ true ดื้อๆเลย เจ้าของร้านประดับยนมั้ง
แต่ที่ผมจะถามคือไอ้แบบ กด sms แล้วโดนเลยต่างหาก อย่างในรายการ TheHacker ก็เทสแต่ android ทำไมไม่เอา iOS เครื่อง android เครื่อง มันเลยทำให้ผมคิดว่าระดับง่ายสุด Android มีโอกาสโดนมากกว่าน่ะสิครับ อันนี้เอาแค่ขั้นตอนที่มีแค่ hacker กับ เหลือก็พอครับ ไอ้ที่ต้องเกี่ยวของกับ Operator กับ ธนาคารตัดไปก่อน เพราะต้องติดต่อกับส่วนอื่นด้วยมันยากกว่า
https://www.youtube.com/watch?v=4hwMZ59IOsw

PS. ถ้าจะคุยมากกว่านี้ช่วย คุยใน facebook ของข่าวนี้ได้มั้ย ผมจะได้ไปตอบในนั้น ไม่ก็ยกตัวอย่างแนวๆนี้ แบบผู้ใช้ต้องกด link จาก sms แล้วติดเลย ของฝั่ง iOS ครับ

hisoft Sun, 14/07/2019 - 12:53

แต่ที่ผมจะถามคือไอ้แบบ กด sms แล้วโดนเลยต่างหาก

อันนั้นไม่เรียกว่า "กด SMS แล้วโดนเลย" นะครับ สิ่งที่เกิดขึ้นคือ

  • SMS เข้า มีลิงก์
  • กดลิงก์ เข้าเบราว์เซอร์ ดาวน์โหลดไฟล์
  • กดเปิดไฟล์ที่ดาวน์โหลดมา มีแจ้งเตือนความปลอดภัยจากการติดตั้งแอป
  • แจ้งว่าไม่สามารถติดตั้งได้เพราะความปลอดภัยไม่ยอมให้ติดตั้งแอปจากภายนอก ต้องไปตั้งค่าแยกต่างหากให้เครื่องยอมรับการติดตั้งไฟล์จากนอกสโตร์ได้ ตอนตั้งค่าขึ้นเตือนความปลอดภัยซ้ำอีกที
  • กลับมากดเปิดไฟล์อีกรอบ แจ้งเตือนความปลอดภัยอีกที

ไม่ก็ยกตัวอย่างแนวๆนี้ แบบผู้ใช้ต้องกด link จาก sms แล้วติดเลย ของฝั่ง iOS ครับ

จริงๆ ก็เคยมีนะครับ ผู้ใช้ iOS พึงระวัง Masque Attack หากโดนหลอกให้ลงแอพแล้วอาจถูกล้วงทุกอย่างใน iPhone

Ford AntiTrust Mon, 15/07/2019 - 10:10

มีคนตอบไปข้างบนแล้วว่าการติดตั้งแอปโดยที่ผู้ใช้งานไม่รู้ตัวนี่ไม่น่าจะมี เอาจริงๆ แต่ตัวผู้ใช้งานรู้ตัวเพียงแต่ตอบคำถามใน pop-up ที่โผล่ขึ้นมาโดยไม่อ่าน แล้วนำไปสู่การติดตั้งอันนี้เจอกันเป็นประจำอยู่แล้ว โดยเว็บที่ไม่พึ่งประสงค์

โดยหากอ้างอิงจากย่อหน้าก่อน ประเด็นเรื่องกด link แล้วโดนติดตั้งแอป แล้วมีหน้ายืนยันอีก 1-2 ขั้นตอน ฝั่ง iOS มีเคสตัวอย่างก็คือการทำ jailbreak ผ่าน Safari ซึ่งอาศัย exploit บน Safari นั่นแหละครับ แน่นอนว่าสุดท้ายก็โดนปิดช่องทางนี้ในอัพเดทถัดไป (ซึ่งเป็นข้อดีที่ iOS ทำไว้ คือสามารถอัพเดทได้รวดเร็ว) แต่เคสนี้ก็แสดงให้เห็นว่าเพราะมันนำไปสู่การติดตั้งแอปนอก Store ได้ (เคส AppSnapp ที่ใช้การ jailbreak ในการติดตั้ง)

จากเคสในย่อหน้าที่สอง นั่นหมายความว่า การกด link ใดๆ ผ่านช่อง SMS ก็สามารถถูกติดตั้งแอปได้เช่นกับบน iOS ได้ หากไม่อ่านข้อมูลให้ดีๆ แบบเดียวกับ Android เพียงแต่ทำได้ยากกว่าและการอัพเดทเพื่อแก้ปัญหาดังกล่าวทำได้รวดเร็วกว่า Android (exploit ใหม่ๆ ที่ยังไม่เจออีกก็อาจจะนำไปสู่การทำแบบนี้ได้เช่นกัน)

แต่ทั้งหมดที่กล่าวมา การใช้วิธีส่ง link ผ่าน SMS แล้วแฮกเพื่อติดตั้งแอปใดๆ เป็นวิธีการขั้นสูง ที่ใช้ทรัพยากรในการแฮกสูงกว่าการทำ SIM Swapping นะ ในไทยคิดว่าการทำ SIM Swapping โดยความประมาทของผู้ให้บริการน่าจะเป็นเคสที่สร้างความเสียหายได้เยอะและหาทางป้องกันได้ยากกว่า เพราะผู้ใช้บริการไม่สามารถปกกันได้ด้วยตัวเอง แต่ต้องพึ่งพาหน่วยงานกำกับดูแล และผู้ให้บริการ

PriteHome Sat, 13/07/2019 - 22:29

ข้อดีสุดๆอย่างนึงของการใช้เบอร์โทรศัพท์ คือ เมื่อซิมหายแล้วก็ไปขอใหม่ได้
ยังไม่เคยเห็นวิธีไหนเลยที่มีฟีเจอร์แบบนี้
(ก็อาจจะมีเคสหน้าไม่เหมือนไปขอซิมใหม่บ้าง แต่ก็เป็นการโจมตีที่ต้องใช้ความพยายามพอสมควร)

ถ้ามองในแง่ความสะดวก (บางคนไม่ถนัดไอทีนะ เช่น กว่าอาม่าจะกด OTP เสร็จ เกิน 30 วิ รหัสเปลี่ยน, หรือดันลืม hardware key ไว้ที่บ้าน) เบอร์โทรศัพท์ก็ยังดูดีกว่าวิธีอื่น แค่ต้องเปลี่ยนจาก SMS เป็นอะไรสักอย่าง

Ford AntiTrust Sat, 13/07/2019 - 23:17

ข้อดีมันมาพร้อมข้อเสียใหญ่เลย เพราะจุดอ่อนของเบอร์โทรศัพท์อยู่ที่ผู้ให้บริการโทรศัพท์เนี่ยแหละ ถ้าตรวจสอบข้อมูลของผู้มาออก SIM ใหม่ไม่ดี จะกลายเป็น SIM Swapping ซึ่งมีเคสในไทยเริ่มเยอะขึ้นเรื่อยๆ

solution ทั้ง security key, hardware Timer OTP หรือแม้แต่ push confirm (หรือ powerless sign-in) เป็นการตัดตัวกลางที่คาดว่าจะมีช่องโหว่ออกไป 1 ตัวคือผู้ให้บริการตรงกลางซึ่งในกรณี SMS คือผู้ให้บริการโทรศัพท์ ซึ่งสามารถถูกฉ่อโกงจาก SIM Swapping, การร้องขอโดยรัฐในการดักฟังโดยรัฐเอง หรือช่องโหว่ดักฟัง SS7 เป็นต้น การเหลือเพียงผู้ให้บริการปลายทางและผู้ใช้บริการเพียง 2 จุด จะลดช่องว่างจุดนี้ไปได้เยอะมาก

icez Sun, 14/07/2019 - 19:02

otp มีทั้งแบบ time based และ counter based ครับ ฝั่ง time based เองก็ตั้งได้ว่าจะใช้ interval เท่าไหร่ รวมถึงปกติมันจะมีการเผื่อความผิดพลาดไว้ด้วย เช่น code เก่าอาจจะใช้ได้ไปอีก 1-2 นาทีอะไรแบบนี้

Fourpoint Sun, 14/07/2019 - 15:22

ปัญหาหลักของไทย คือไม่มีโทษทางอาญาฯ สำหรับผู้ให้บริการที่เลินเล่อในการออกซิม มีแค่ฟ้องทางแพ่งกรณีเกิดความเสียหาย

เรื่องเงินก็เรื่องนึง แต่ถ้าการสวมรอย swapping sim ไปใช้ในทางผิดกฎหมายในคดีร้ายแรง เช่นก่อการร้าย หรือ 112 แล้วเจ้าของซิมที่แท้จริงโดนคดีเหล่านี้ จนจบคดีความสมมติรอดมาได้ แต่ก็ต้องจำคุกในระหว่างกระบวนการ จะฟ้องผู้ให้บริการให้มีโทษทางอาญาฯได้ไหม?

มันย้อนแย้งในตัวเองว่า ซิม สามารถเป็นหลักฐานสำคัญในคดีอาญาฯที่มีบทลงโทษร้ายแรง แต่ไม่มีบทลงโทษกับผู้ให้บริการที่ออกซิม กรณีเลินเล่อหรือจงใจมีส่วนร่วม?