Miksi puhelinpohjainen todennus voi olla epävarmaa?
Avaimet takeawayt
- Hakkerit voivat varastaa puhelinpohjaisia monitekijätodennuskoodeja (MFA), asiantuntijat sanovat.
- Puhelinyhtiöitä on huijattu siirtämään puhelinnumeroita, jotta rikolliset voivat saada koodit.
- Yksinkertainen ja edullinen tapa lisätä turvallisuutta on käyttää puhelimesi todennussovellusta.
Pysy turvassa hakkereilta lopettamalla tekstiviestillä ja äänipuheluilla lähetettävien puhelinpohjaisten monitekijätodennuskoodien (MFA) käyttö, turvallisuusasiantuntija kirjoittaa uudessa analyysissä.
Puhelinkoodit ovat alttiina hakkereiden sieppaamiselle, Alex Weinert, Microsoftin identiteettiturvallisuusjohtaja, kirjoitti. viimeisin blogikirjoitus. Tekstipohjaiset koodit ovat parempia kuin ei mitään, tarkkailijat sanovat. Käyttäjien tulisi kuitenkin korvata puhelinpohjainen todennus sovelluksilla ja suojausavaimilla.
"Nämä mekanismit perustuvat julkisiin puhelinverkkoihin (PSTN), ja uskon, että ne ovat vähiten turvallisia nykyään saatavilla olevista MFA-menetelmistä", hän kirjoitti.
"Tämä kuilu vain kasvaa, kun MFA: n käyttöönotto lisää hyökkääjien kiinnostusta murtaa näitä menetelmiä ja tarkoitukseen rakennetut autentikaattorit laajentavat heidän turvallisuus- ja käytettävyysetujaan. Suunnittele siirtymäsi salasanattomaan vahvaan todentamiseen nyt – todennussovellus tarjoaa välittömän ja kehittyvän vaihtoehdon."
MFA on suojausmenetelmä, jossa tietokoneen käyttäjä saa pääsyn verkkosivustoon tai sovellukseen vasta sen jälkeen, kun hän on onnistuneesti esittänyt kaksi tai useampia todisteita todennusmekanismille. Nämä koodit lähetetään usein puhelimitse.
Hakkerit teeskentelevät olevansa sinä
Hakkerit voivat kuitenkin päästä käsiksi puhelinkoodeihin, tarkkailijat sanovat. Joissakin tapauksissa puhelinyhtiöitä on huijattu siirtämään puhelinnumeroita, jotta hakkerit voivat saada koodit.
"Puhelimet ovat niin epävarmoja, että käyttäjät saavat usein huijauspuheluita kolmansien maiden maista ja näyttävät amerikkalaisia alueellisia puhelinnumeroita", Matthew Rogers, CISO pilvipalveluntarjoajan syntaksi, sanoi sähköpostihaastattelussa. "Puhelimet ovat myös alttiina SIM-vaihtohyökkäyksille, jotka voivat helposti ohittaa MFA: n tekstiviestillä."
Äskettäin suosittu BBC: n radiojuontaja Jeremy Vine joutui hyökkäyksen uhriksi, joka johti hänen WhatsApp-tililleen tunkeutumiseen.
"Vinen onnistuneesti huijannut hyökkäys alkaa näennäisen ei-toivotun tekstiviestin vastaanottamisesta joka sisältää kaksivaiheisen todennuskoodin heidän tililleen", Ray Walsh, tietosuojaasiantuntija yksityisyyden tarkistussivusto ProPrivacy, sanoi sähköpostihaastattelussa.
"Sen jälkeen uhri saa suoran viestin yhteyshenkilöltä, joka väittää lähettäneensä hänelle koodin vahingossa. Lopuksi uhria pyydetään välittämään hakkerille koodi, joka antaa hänelle välittömän pääsyn uhrin tilille."
Ohjelmisto voi myös olla ongelma. "Laitteen haavoittuvuuksien vuoksi vuotava sovellus tai vaarantunut laite, josta käyttäjä ei ole tietoinen", George Freeman, hallituksen ratkaisukonsultti ryhmä LexisNexis Risk Solutions, sanoi sähköpostihaastattelussa.
Älä vielä luovuta puhelintasi
Asiantuntijat sanovat kuitenkin, että tekstipohjainen MFA on parempi kuin ei mitään. "MFA on yksi tehokkaimmista työkaluista, joita käyttäjällä on suojata tilinsä", Mark Nunnikhoven, pilvitutkimuksen varatoimitusjohtaja kyberturvallisuusyhtiö Trend Micro, sanoi sähköpostihaastattelussa.
"Se pitäisi ottaa käyttöön aina kun mahdollista. Jos sinulla on valinnanvaraa, käytä älypuhelimesi todennussovellusta, mutta varmista loppujen lopuksi, että MFA on käytössä missä tahansa muodossa."
Yksinkertainen ja edullinen tapa lisätä turvallisuutta on käyttää puhelimesi autentikointisovellusta, Peter Robert, yrityksen perustaja ja toimitusjohtaja. IT-yritys Expert Computer Solutions, sanoi sähköpostihaastattelussa.
"Jos sinulla on budjetti ja pidät tietoturvaa kriittisenä, rohkaisen sinua arvioimaan laitteistopohjaisia MFA-avaimia", hän lisäsi. "Yrityksille ja yksityishenkilöille, jotka ovat huolissaan turvallisuudesta, suosittelen myös pimeää verkkoa seurantapalvelu, joka ilmoittaa, onko henkilökohtaisia tietojasi saatavilla ja myynnissä pimeässä web."
Enemmän Mahdoton tehtävä-tyylinen lähestymistapa, uusi standardi FIDO2 Webauthnilla käyttää biometristä todennusta, Freeman sanoo. "Käyttäjä muodostaa yhteyden taloussivustolle, syöttää käyttäjätunnuksen, verkkosivusto ottaa yhteyttä [käyttäjän] mobiililaitteeseen, [puhelimen] suojattu sovellus pyytää sitten käyttäjältä [heidän] kasvotunnuksensa tai sormenjäljensä. Kun se onnistuu, se todentaa verkkoistunnon", hän sanoi.
Koska mahdollisia uhkia on niin paljon, saattaa olla aika alkaa etsiä turvallisempia tapoja kirjautua henkilökohtaisia tietoja tallentaville verkkosivustoille. Hakkerit saattavat väijyä verkossa vain odottamassa salasanasi sieppaamista.