Proč může být ověřování pomocí telefonu nejisté
Klíčové věci
- Odborníci říkají, že hackeři mohou ukrást kódy vícefaktorové autentizace (MFA) založené na telefonu.
- Telefonní společnosti byly oklamány, aby přenesly telefonní čísla, aby umožnili zločincům získat kódy.
- Jednoduchým a levným způsobem, jak zvýšit zabezpečení, je použití ověřovací aplikace v telefonu.
Chcete-li zůstat v bezpečí před hackery, přestaňte používat telefonické kódy vícefaktorové autentizace (MFA) zasílané prostřednictvím SMS a hlasových hovorů, píše špičkový bezpečnostní expert v nové analýze.
Telefonní kódy jsou zranitelné vůči zachycení hackery, napsal Alex Weinert, ředitel zabezpečení identit ve společnosti Microsoft. nedávný příspěvek na blogu. Podle pozorovatelů jsou textové kódy lepší než nic. Uživatelé by však měli nahradit ověřování založené na telefonu aplikacemi a bezpečnostními klíči.
"Tyto mechanismy jsou založeny na veřejně komutovaných telefonních sítích (PSTN) a domnívám se, že jsou ze současných dostupných metod MFA nejméně bezpečné," napsal.
„Tato mezera se bude jen zvětšovat, protože přijetí MFA zvýší zájem útočníků o prolomení těchto metod a účelově vytvořené autentizátory rozšíří jejich výhody v oblasti bezpečnosti a použitelnosti. Naplánujte si přechod na silnou autentizaci bez hesla již nyní – aplikace pro ověřování poskytuje okamžitou a vyvíjející se možnost.“
MFA je metoda zabezpečení, při které je uživateli počítače udělen přístup k webové stránce nebo aplikaci pouze po úspěšném předložení dvou nebo více důkazů autentizačnímu mechanismu. Tyto kódy jsou často zasílány telefonicky.
Hackeři předstírají, že jste vy
Podle pozorovatelů však existují způsoby, jak mohou hackeři získat přístup k telefonním kódům. V některých případech byly telefonní společnosti oklamány, aby přenesly telefonní čísla, aby umožnili hackerům získat kódy.
„Telefony jsou tak nebezpečné, že na ně uživatelé často dostávají podvodné hovory ze zemí třetího světa a přitom zobrazují americká regionální telefonní čísla,“ Matthew Rogers, CISO of syntaxe poskytovatele cloudu, řekl v e-mailovém rozhovoru. "Telefony jsou také předmětem útoků na výměnu SIM karet, které mohou snadno obejít MFA prostřednictvím textové zprávy."
Nedávno se populární rozhlasový moderátor BBC Jeremy Vine stal obětí útoku, který vedl k proniknutí do jeho účtu WhatsApp.
„Útok, který úspěšně oklamal Vinea, začíná přijetím zdánlivě nevyžádané SMS zprávy která obsahuje dvoufaktorový autentizační kód k jejich účtu,“ Ray Walsh, odborník na ochranu osobních údajů ve společnosti web pro kontrolu soukromí ProPrivacy, řekl v e-mailovém rozhovoru.
„Následně oběť obdrží přímou zprávu od kontaktu, který tvrdí, že jim kód poslal náhodou. Nakonec je oběť požádána, aby přeposlala hackerovi kód, který jim umožní okamžitý přístup k účtu oběti."
Problémem může být i software. „Kvůli zranitelnostem zařízení by MFA mohla být potenciálně odposlouchávána děravou aplikací nebo kompromitované zařízení, o kterém uživatel neví,“ George Freeman, poradce pro řešení ve vládě skupina Řešení rizik LexisNexis, řekl v e-mailovém rozhovoru.
Ještě se nevzdávejte svého telefonu
Nicméně, textová MFA je lepší než nic, říkají odborníci. „MFA je jedním z nejmocnějších nástrojů, které má uživatel k ochraně svých účtů,“ řekl Mark Nunnikhoven, viceprezident cloudového výzkumu ve společnosti kybernetická bezpečnostní společnost Trend Micro, řekl v e-mailovém rozhovoru.
„Mělo by to být povoleno, kdykoli je to možné. Máte-li na výběr, použijte ověřovací aplikaci na svém smartphonu – ale nakonec se ujistěte, že je MFA povolena v jakékoli formě.“
Jednoduchým a levným způsobem, jak zvýšit zabezpečení, je použití aplikace pro ověřování v telefonu, Peter Robert, spoluzakladatel a CEO společnosti IT společnost Expert Computer Solutions, řekl v e-mailovém rozhovoru.
„Pokud máte rozpočet a považujete zabezpečení za kritické, doporučil bych vám vyhodnotit hardwarové klíče MFA,“ dodal. „Pro firmy a jednotlivce, kteří se zajímají o bezpečnost, bych také doporučil dark web monitorovací služba, která vám dá vědět, zda jsou vaše osobní údaje dostupné a na prodej ve tmě web."
Pro více Nesplnitelná mise-stylový přístup, nový standard FIDO2 s Webauthn používá biometrické ověřování, říká Freeman. „Uživatel se připojí k finanční stránce, zadá uživatelské jméno, web kontaktuje [uživatelovo] mobilní zařízení, zabezpečená aplikace v [telefonu] poté uživatele vyzve k zadání [jeho] ID obličeje nebo otisku prstu. Když bude úspěšná, ověří webovou relaci,“ řekl.
S tolika možnými hrozbami je možná čas začít hledat bezpečnější způsoby, jak se přihlásit na weby, které uchovávají osobní údaje. Hackeři mohou číhat na webu a čekat, až zachytí vaše heslo.