Hvorfor telefonbaseret godkendelse kan være usikker
Nøgle takeaways
- Hackere kan stjæle telefon-baserede multi-factor authentication (MFA) koder, siger eksperter.
- Telefonselskaber er blevet narret til at overføre telefonnumre for at give kriminelle mulighed for at få koderne.
- En enkel, billig måde at øge sikkerheden på er at bruge autentificeringsappen på din telefon.
For at være sikker mod hackere skal du stoppe med at bruge telefonbaserede multi-factor authentication (MFA)-koder sendt via SMS og taleopkald, skriver en topsikkerhedsekspert i en ny analyse.
Telefonkoder er sårbare over for aflytning af hackere, skrev Alex Weinert, direktør for identitetssikkerhed hos Microsoft, i en seneste blogindlæg. Tekstbaserede koder er bedre end ingenting, siger observatører. Men brugere bør erstatte telefonbaseret godkendelse med apps og sikkerhedsnøgler.
"Disse mekanismer er baseret på offentligt koblede telefonnetværk (PSTN), og jeg tror, de er den mindst sikre af de MFA-metoder, der er tilgængelige i dag," skrev han.
"Denne kløft vil kun blive større, efterhånden som MFA-adoption øger angribernes interesse i at bryde disse metoder, og specialbyggede autentificeringer udvider deres sikkerheds- og brugervenlighedsfordele. Planlæg dit skift til stærk godkendelse uden adgangskode nu – autentificeringsappen giver en øjeblikkelig og udviklende mulighed."
MFA er en sikkerhedsmetode, hvor en computerbruger kun får adgang til et websted eller en applikation efter at have præsenteret to eller flere beviser til en godkendelsesmekanisme. Disse koder sendes ofte pr. telefon.
Hackere udgiver sig for at være dig
Der er måder, hvorpå hackere kan få adgang til telefonkoder, siger observatører. I nogle tilfælde er telefonselskaber blevet narret til at overføre telefonnumre for at give hackere mulighed for at få koderne.
"Telefoner er så usikre, at brugere ofte vil få svindelopkald dirigeret til dem fra tredjeverdenslande, mens de viser amerikanske regionale telefonnumre," Matthew Rogers, CISO fra cloud-udbyder Syntax, sagde i et e-mailinterview. "Telefoner er også udsat for SIM-bytteangreb, som nemt kan omgå MFA via sms."
For nylig blev den populære BBC-radiovært Jeremy Vine udsat for et angreb, der førte til, at hans WhatsApp-konto blev trængt ind.
"Angrebet, der med succes narrede Vine, starter med modtagelsen af en tilsyneladende uopfordret SMS-besked der indeholder to-faktor-godkendelseskoden til deres konto," Ray Walsh, databeskyttelsesekspert ved fortrolighedsvurderingswebsted ProPrivacy, sagde i et e-mailinterview.
"Derefter modtager offeret en direkte besked fra en kontakt, der hævder at have sendt dem en kode ved et uheld. Til sidst bliver offeret bedt om at videresende hackeren koden, som giver dem øjeblikkelig adgang til offerets konto."
Software kan også være et problem. "På grund af enhedssårbarheder kan MFA potentielt blive afluret af en utæt app eller en kompromitteret enhed, som brugeren ikke er opmærksom på," George Freeman, løsningskonsulent hos regeringen gruppe af LexisNexis Risk Solutions, sagde i et e-mailinterview.
Giv ikke op din telefon endnu
Tekstbaseret MFA er dog bedre end ingenting, siger eksperter. "MFA er et af de mest kraftfulde værktøjer, en bruger har til at beskytte deres konti," Mark Nunnikhoven, vicepræsident for cloud research hos cybersikkerhedsvirksomheden Trend Micro, sagde i et e-mailinterview.
"Det skal aktiveres, når det er muligt. Hvis du har valget, skal du bruge en godkendelsesapp på din smartphone - men i sidste ende skal du bare sørge for, at MFA er aktiveret i enhver form."
En enkel, billig måde at øge sikkerheden på er at bruge autentificeringsappen på din telefon, Peter Robert, medstifter og administrerende direktør for IT-virksomheden Expert Computer Solutions, sagde i et e-mailinterview.
"Hvis du har budgettet og betragter sikkerhed som kritisk, vil jeg opfordre dig til at evaluere hardwarebaserede MFA-nøgler," tilføjede han. "For virksomheder og enkeltpersoner, der er bekymrede for sikkerhed, vil jeg også anbefale et mørkt web overvågningstjeneste for at lade dig vide, om personlige oplysninger om dig er tilgængelige og til salg i mørket web."
For en mere Umulig mission-stil tilgang, den nye standard FIDO2 med Webauthn bruger biometrisk autentificering, siger Freeman. "Brugeren opretter forbindelse til et finansielt websted, indtaster et brugernavn, webstedet kontakter [brugerens] mobile enhed, en sikker app på [telefonen] beder derefter brugeren om [deres] ansigts-id eller fingeraftryk. Når det lykkes, autentificerer det websessionen," sagde han.
Med så mange mulige trusler er det måske på tide at begynde at lede efter mere sikre måder at logge på websteder, der gemmer personlige oplysninger. Hackere lurer muligvis på nettet og venter på at opsnappe din adgangskode.