Miks võib telefonipõhine autentimine olla ebakindel?
Võtmed kaasavõtmiseks
- Häkkerid võivad varastada telefonipõhiseid mitmefaktorilise autentimise (MFA) koode, väidavad eksperdid.
- Telefonifirmasid on meelitatud telefoninumbreid üle kandma, et kurjategijad saaksid koodid kätte saada.
- Lihtne ja odav viis turvalisuse suurendamiseks on kasutada oma telefoni autentimisrakendust.
Häkkerite eest kaitsmiseks lõpetage SMS-i ja häälkõnede kaudu saadetavate telefonipõhiste mitmefaktorilise autentimise (MFA) koodide kasutamine, kirjutab turvalisuse tippekspert uues analüüsis.
Telefonikoodid on häkkerite pealtkuulamise suhtes haavatavad, kirjutas Microsofti identiteediturbe direktor Alex Weinert hiljutine ajaveebi postitus. Vaatlejate sõnul on tekstipõhised koodid parem kui mitte midagi. Kuid kasutajad peaksid asendama telefonipõhise autentimise rakenduste ja turvavõtmetega.
"Need mehhanismid põhinevad avalikult kommuteeritavatel telefonivõrkudel (PSTN) ja ma usun, et need on tänapäeval saadaolevatest MFA-meetoditest kõige vähem turvalised," kirjutas ta.
"See lõhe suureneb ainult siis, kui MFA kasutuselevõtt suurendab ründajate huvi nende meetodite murdmise vastu ning eesmärgipäraselt loodud autentijad suurendavad nende turvalisuse ja kasutatavuse eeliseid. Planeerige oma üleminek paroolita tugevale autentimisele kohe – autentimisrakendus pakub kohest ja arenevat võimalust."
MFA on turvameetod, mille puhul arvutikasutajale antakse juurdepääs veebisaidile või rakendusele alles pärast kahe või enama tõendi edukat esitamist autentimismehhanismile. Need koodid saadetakse sageli telefoni teel.
Häkkerid teesklevad, et olete sina
Vaatlejate sõnul võivad häkkerid siiski telefonikoodidele juurde pääseda. Mõnel juhul on telefonifirmasid meelitatud telefoninumbreid üle kandma, et häkkerid saaksid koodid kätte saada.
"Telefonid on nii ebaturvalised, et kasutajatele suunatakse sageli petukõned kolmandatest riikidest, näidates samal ajal Ameerika piirkondlikke telefoninumbreid," ütles CISO Matthew Rogers. pilveteenuse pakkuja süntaks, ütles meiliintervjuus. "Telefonid on samuti allutatud SIM-i vahetamise rünnakutele, mis võivad MFA-st tekstisõnumiga hõlpsalt mööda minna."
Hiljuti langes populaarne BBC raadiosaatejuht Jeremy Vine rünnaku ohvriks, mis viis tema WhatsAppi kontole tungimiseni.
«Vine’i edukalt petnud rünnak algab pealtnäha soovimatu SMS-i saamisega mis sisaldab nende konto kahefaktorilist autentimiskoodi," ütles Ray Walsh, andmekaitseekspert privaatsuse ülevaatamise sait ProPrivacy, ütles meiliintervjuus.
"Seejärel saab ohver kontaktilt otsesõnumi, mis väidab, et saatis talle koodi kogemata. Lõpuks palutakse ohvril häkkerile edastada kood, mis annab talle kohese juurdepääsu ohvri kontole.
Probleemiks võib olla ka tarkvara. "Seadme haavatavuste tõttu võib MFA-d pealt kuulata lekkiv rakendus või ohustatud seade, millest kasutaja teadlik ei ole,“ ütles valitsuse lahenduskonsultant George Freeman rühm LexisNexise riskilahendused, ütles meiliintervjuus.
Ärge loobuge veel oma telefonist
Tekstipõhine MFA on aga parem kui mitte midagi, ütlevad eksperdid. "MFA on üks võimsamaid tööriistu, mida kasutajal on oma kontode kaitsmiseks," ütles Mark Nunnikhoven, ettevõtte pilveuuringute asepresident. küberturvalisuse ettevõte Trend Micro, ütles meiliintervjuus.
"See tuleks võimaluse korral sisse lülitada. Kui teil on valik, kasutage oma nutitelefonis autentimisrakendust, kuid lõpuks veenduge, et MFA oleks mis tahes kujul lubatud."
Lihtne ja odav viis turvalisuse suurendamiseks on kasutada oma telefoni autentimisrakendust, Peter Robert, ettevõtte kaasasutaja ja tegevjuht. IT-ettevõte Expert Computer Solutions, ütles meiliintervjuus.
"Kui teil on eelarve ja peate turvalisuse kriitiliseks, soovitan teil hinnata riistvarapõhiseid MFA-võtmeid," lisas ta. "Turvalisuse pärast muretsevatele ettevõtetele ja eraisikutele soovitaksin ka tumedat veebi seireteenus, mis annab teile teada, kas teie isiklik teave on saadaval ja pimedal ajal müügiks võrk."
Rohkemaks Võimatu missioon-stiilis lähenemine, uus standard FIDO2 koos Webauthniga kasutab biomeetrilist autentimist, ütleb Freeman. „Kasutaja loob ühenduse finantssaidiga, sisestab kasutajanime, veebisait võtab ühendust [kasutaja] mobiilseadmega, telefoni turvaline rakendus küsib seejärel kasutajalt [oma] näo ID või sõrmejälje. Kui see õnnestub, autentib see veebiseansi, " ütles ta.
Kuna ohte on nii palju, võib olla aeg hakata otsima turvalisemaid viise isiklikku teavet salvestavatele veebisaitidele sisselogimiseks. Häkkerid võivad varitseda veebis just teie parooli pealtkuulamist.