閉じる
メニュー

電話ベースの認証が安全でない理由

重要なポイント

  • 専門家によると、ハッカーは電話ベースの多要素認証(MFA)コードを盗むことができます。
  • 電話会社は、犯罪者がコードを入手できるように電話番号を転送するようにだまされてきました。
  • セキュリティを強化するためのシンプルで低コストの方法は、スマートフォンで認証システムアプリを使用することです。
スマートフォン、財布、カードリーダーがその上に並んでいるキーボードの手。
写真家、Basak Gurbuz Derman / Getty Images 

ハッカーからの安全を守るために、SMSや音声通話で送信される電話ベースの多要素認証(MFA)コードの使用をやめると、セキュリティのトップエキスパートが新しい分析で書いています。

電話コードはハッカーによる傍受に対して脆弱であると、マイクロソフトのIDセキュリティ担当ディレクターであるAlexWeinertは次のように書いています。 最近のブログ投稿. オブザーバーによると、テキストベースのコードは何もないよりはましだという。 ただし、ユーザーは電話ベースの認証をアプリとセキュリティキーに置き換える必要があります。

「これらのメカニズムは、公衆交換電話網(PSTN)に基づいており、現在利用可能なMFA方式の中で最も安全性が低いと思います」と彼は書いています。

「MFAの採用により、攻撃者がこれらの方法を破ることへの関心が高まり、専用のオーセンティケーターがセキュリティと使いやすさの利点を拡大するにつれて、そのギャップは拡大するでしょう。 今すぐパスワードなしの強力な認証への移行を計画してください。オーセンティケーターアプリは、即座に進化するオプションを提供します。」

MFAは、認証メカニズムに2つ以上の証拠を正常に提示した後にのみ、コンピューターユーザーがWebサイトまたはアプリケーションへのアクセスを許可されるセキュリティ方法です。 これらのコードは、多くの場合、電話で送信されます。

ハッカーはあなたのふりをします

ハッカーが電話コードにアクセスする方法はいくつかありますが、オブザーバーは言います。 場合によっては、電話会社は、ハッカーがコードを取得できるように電話番号を転送するようにだまされています。

「電話は非常に安全でないため、ユーザーはアメリカの地域の電話番号を表示しながら、第三世界の国々から詐欺電話を​​転送することがよくあります」と、CISOのMatthewRogers氏は述べています。 クラウドプロバイダー構文、電子メールのインタビューで言った。 「電話はSIMスワッピング攻撃の対象にもなり、テキストメッセージを介してMFAを簡単に回避できます。」

最近、人気のあるBBCラジオホストのジェレミーヴァインが攻撃の犠牲になり、WhatsAppアカウントが侵害されました。

「Vineをだまして成功した攻撃は、一見一方的なSMSメッセージの受信から始まります。 アカウントへの2要素認証コードが含まれています」と、データプライバシーの専門家であるRayWalsh氏は述べています。 プライバシーレビューサイトProPrivacy、電子メールのインタビューで言った。

「その後、被害者は、誤ってコードを送信したと主張する連絡先から直接メッセージを受け取ります。 最後に、被害者はハッカーにコードを転送するように求められます。これにより、被害者のアカウントに即座にアクセスできるようになります。」

ソフトウェアも問題になる可能性があります。 「デバイスの脆弱性により、MFAはリークのあるアプリや ユーザーが気付いていない侵害されたデバイス」と政府のソリューションコンサルタント、George Freeman のグループ LexisNexisリスクソリューション、電子メールのインタビューで言った。

まだスマートフォンをあきらめないでください

ただし、専門家によると、テキストベースのMFAは何もないよりはましです。 「MFAは、ユーザーがアカウントを保護するために必要な最も強力なツールの1つです」と、クラウドリサーチ担当副社長のMarkNunnikhoven氏は述べています。 サイバーセキュリティ会社のトレンドマイクロ、電子メールのインタビューで言った。

「可能な限り有効にする必要があります。 選択肢がある場合は、スマートフォンで認証アプリを使用しますが、最終的には、MFAが任意の形式で有効になっていることを確認してください。」

セキュリティを強化するためのシンプルで低コストの方法は、携帯電話で認証システムアプリを使用することです。 IT企業のエキスパートコンピュータソリューション、電子メールのインタビューで言った。

「予算があり、セキュリティが重要であると考えている場合は、ハードウェアベースのMFAキーを評価することをお勧めします」と彼は付け加えました。 「セキュリティを懸念している企業や個人には、ダークウェブもお勧めします あなたの個人情報が利用可能であり、暗闇で販売されているかどうかを通知する監視サービス ウェブ。"

指紋スキャナーの指のクローズアップ。
正直マイク/ゲッティイメージズ 

詳細については 任務遂行不可能スタイルのアプローチ、新しい標準 Webauthnを使用したFIDO2 フリーマン氏によると、生体認証を使用しています。 「ユーザーは金融サイトに接続し、ユーザー名を入力すると、ウェブサイトはユーザーのモバイルデバイスに接続し、電話の安全なアプリがユーザーに顔のIDまたは指紋の入力を求めます。 成功すると、Webセッションを認証します」と述べています。

非常に多くの脅威が考えられるため、個人情報を保存しているWebサイトにログオンするためのより安全な方法を探し始める時期かもしれません。 ハッカーは、パスワードを傍受するのを待っているだけでWebに潜んでいる可能性があります。