Sikkerhet i mobilinfrastruktur/autentisering
Abstract
Mange nettsteder tilbyr den dag i dag brukere å autentisere seg med en engangskode på SMS i tillegg til å oppgi passord. Dette gjøres fordi man antar at brukeren må ha tilgang til mobiltelefonen sin for å motta engangskoden. Hvor sikker er denne infrastrukturen, og hva er den beste metoden for å autentisere en bruker med en mobiltelefon? Målet til dette prosjektet var å samle inn nok data for å gi gode svar til de gitte problemstillingene. En del av målet vårt var å lage en applikasjon som et konseptbevis for sterk kommunikasjon ved bruk av fingeravtrykk opp mot en server. I den første delen samlet vi inn og analyserte data fra forskjellige kilder for å kunne si hvor sikker den mobile infrastrukturen egentlig er. Vi konkluderte med at SMS ikke er egnet for autentisering fordi det eksisterer mange sårbarheter i infrastrukturen som gir muligheten til å overvåke telefonsamtaler og SMS-er. Det har blitt implementert tiltak for å hindre denne type overvåkning, men effekten av disse tiltakene er ukjent. I del to av prosjektet identifiserte vi hvordan nøkler kan bli lagret sikkert i mobiltelefoner, og dette ble brukt til å implementere konseptbeviset. Many websites today offer users to authenticate with a one-time code sent via SMS in addition to providing a password. This is done because it is assumed that the user must have access to their mobile phone to receive the one-time code. How safe is this infrastructure, and what is the best method to authenticate a user on a mobile device? The goal of this project was to gather enough data to give good answers to the given problems. A part of our goal was to provide a proof of concept application for strong authentication with the use of a fingerprint against a server system. In the first part we gathered and analysed data from many different sources to determine how secure the mobile infrastructure really is. We concluded that SMS is not suitable for authentication because there exists many vulnerabilities in the mobile infrastructure that allows monitoring of phone calls and SMS. There has been implemented controls to prevent this kind of monitoring, but the effect of these controls are unknown. In the second part we identified how keys can be stored securely in mobile devices and used this to implement the proof of concept.