Защо удостоверяването, базирано на телефон, може да бъде несигурно

За да се предпазите от хакери, спрете да използвате базирани на телефон кодове за многофакторно удостоверяване (MFA), изпращани чрез SMS и гласови повиквания, пише в нов анализ водещ експерт по сигурността.

Телефонните кодове са уязвими за прихващане от хакери, пише Алекс Уайнерт, директор по сигурността на самоличността в Microsoft. скорошна публикация в блога. Текстовите кодове са по-добри от нищо, казват наблюдатели. Но потребителите трябва да заменят базираното на телефона удостоверяване с приложения и ключове за сигурност.

„Тези механизми се основават на публично комутирани телефонни мрежи (PSTN) и вярвам, че те са най-малко сигурните от наличните днес методи за MFA“, пише той.

„Тази празнина само ще се задълбочава, тъй като приемането на MFA увеличава интереса на нападателите към нарушаването на тези методи, а специално създадените автентикатори разширяват своите предимства за сигурност и използваемост. Планирайте преминаването си към силно удостоверяване без парола сега – приложението за удостоверяване предоставя незабавна и развиваща се опция."

MFA е метод за сигурност, при който на компютърен потребител се предоставя достъп до уебсайт или приложение само след успешно представяне на две или повече доказателства към механизъм за удостоверяване. Тези кодове често се изпращат по телефона.

Хакерите се преструват на вас

Има обаче начини, по които хакерите могат да получат достъп до телефонни кодове, твърдят наблюдатели. В някои случаи телефонните компании са били измамени да прехвърлят телефонни номера, за да позволят на хакерите да получат кодовете.

„Телефоните са толкова несигурни, че потребителите често ще получават измамни обаждания, насочени към тях от страни от третия свят, докато показват регионални телефонни номера на Америка“, Матю Роджърс, CISO на Синтаксис на доставчика на облак, каза в интервю по имейл. „Телефоните също са обект на атаки за размяна на SIM, които могат лесно да заобиколят MFA чрез текстово съобщение.“

Наскоро популярният радиоводещ на BBC Джеръми Вайн беше жертва на атака, която доведе до проникване в акаунта му в WhatsApp.

„Атаката, която успешно измами Vine, започва с получаването на привидно непоискано SMS съобщение който съдържа двуфакторния код за удостоверяване към техния акаунт“, Рей Уолш, експерт по поверителност на данните в сайт за преглед на поверителността ProPrivacy, каза в интервю по имейл.

„След това жертвата получава директно съобщение от контакт, който твърди, че им е изпратил код случайно. Накрая жертвата е помолена да препрати на хакера кода, което им дава незабавен достъп до акаунта на жертвата."

Софтуерът също може да бъде проблем. „Поради уязвимости на устройството, MFA може потенциално да бъде подслушван от изтичащо приложение или компрометирано устройство, за което потребителят не знае“, Джордж Фрийман, консултант по решения в правителството група от Решения за риск от LexisNexis, каза в интервю по имейл.

Все още не се отказвайте от телефона си

Въпреки това, базираното на текст MFA е по-добре от нищо, твърдят експерти. „MFA е един от най-мощните инструменти, които потребителят има, за да защити своите акаунти“, Марк Нуникховен, вицепрезидент по облачни изследвания в компания за киберсигурност Trend Micro, каза в интервю по имейл.

„Трябва да бъде активиран винаги, когато е възможно. Ако имате избор, използвайте приложение за удостоверяване на вашия смартфон, но в крайна сметка просто се уверете, че MFA е активиран под каквато и да е форма."

Един прост и евтин начин за повишаване на сигурността е да използвате приложението за удостоверяване на вашия телефон, Питър Робърт, съосновател и главен изпълнителен директор на IT компания Expert Computer Solutions, каза в интервю по имейл.

„Ако имате бюджет и смятате, че сигурността е критична, бих ви насърчил да оцените хардуерните MFA ключове“, добави той. „За фирми и физически лица, които са загрижени за сигурността, бих препоръчал и тъмна мрежа услуга за наблюдение, за да ви информира дали лична информация за вас е налична и за продажба на тъмно мрежа."

За повече Мисия невъзможна-стилов подход, новият стандарт FIDO2 с Webauthn използва биометрично удостоверяване, казва Фрийман. „Потребителят се свързва с финансов сайт, въвежда потребителско име, уебсайтът се свързва с мобилното устройство [на] потребителя, защитено приложение на [телефона], след което подканва потребителя за [техния] лицев ID или пръстов отпечатък. Когато е успешен, той удостоверява уеб сесията", каза той.

С толкова много възможни заплахи може да е време да започнете да търсите по-сигурни начини за влизане в уебсайтове, които съхраняват лична информация. Хакери може да дебнат в мрежата, просто чакайки да прихванат паролата ви.