Kodėl telefonu pagrįstas autentifikavimas gali būti nesaugus
Key Takeaways
- Pasak ekspertų, įsilaužėliai gali pavogti telefonais pagrįstus kelių veiksnių autentifikavimo (MFA) kodus.
- Telefonų bendrovės buvo apgaudinėjamos perkeldamos telefono numerius, kad nusikaltėliai galėtų gauti kodus.
- Paprastas ir nebrangus būdas padidinti saugumą yra naudoti autentifikavimo programą telefone.
Norėdami apsisaugoti nuo įsilaužėlių, nustokite naudoti telefonu pagrįstus daugiafaktorinius autentifikavimo (MFA) kodus, siunčiamus SMS ir balso skambučiais, naujoje analizėje rašo aukščiausias saugumo ekspertas.
„Microsoft“ tapatybės saugumo direktorius Alexas Weinertas rašė, kad telefonų kodus gali perimti įsilaužėliai. naujausias tinklaraščio įrašas. Stebėtojai teigia, kad tekstiniai kodai yra geriau nei nieko. Tačiau vartotojai turėtų telefono autentifikavimą pakeisti programomis ir saugos raktais.
„Šie mechanizmai yra pagrįsti viešai perjungiamais telefono tinklais (PSTN), ir manau, kad jie yra mažiausiai saugūs iš šiandien prieinamų MFA metodų“, – rašė jis.
„Šis atotrūkis tik padidės, nes MFA priėmimas padidins užpuolikų susidomėjimą sulaužyti šiuos metodus, o specialiai sukurti autentifikatoriai padidins jų saugumo ir naudojimo pranašumus. Suplanuokite savo perėjimą prie tvirto autentifikavimo be slaptažodžio dabar – autentifikavimo programa suteikia tiesioginę ir besikeičiančią parinktį.
MFA – tai saugumo metodas, kai kompiuterio vartotojui prieiga prie svetainės ar programos suteikiama tik sėkmingai pateikus du ar daugiau įrodymų autentifikavimo mechanizmui. Šie kodai dažnai siunčiami telefonu.
Piratai apsimeta jumis
Tačiau stebėtojai teigia, kad yra būdų, kaip įsilaužėliai gali gauti prieigą prie telefono kodų. Kai kuriais atvejais telefonų bendrovės buvo apgaudinėjamos, kad perkeltų telefono numerius, kad įsilaužėliai galėtų gauti kodus.
„Telefonai yra tokie nesaugūs, kad vartotojai dažnai sulaukia apgaulingų skambučių iš trečiojo pasaulio šalių, rodydami Amerikos regioninius telefonų numerius“, – sakė CISO Matthew Rogersas. debesies teikėjo sintaksė, sakė interviu el. „Telefonai taip pat susiduria su SIM keitimo atakomis, kurios gali lengvai apeiti MFA tekstiniu pranešimu.
Neseniai populiarus BBC radijo laidų vedėjas Jeremy Vine'as nukentėjo nuo atakos, dėl kurios buvo įsiskverbta į jo „WhatsApp“ paskyrą.
„Ataka, kuri sėkmingai apgavo Vine'ą, prasideda gavus, regis, nepageidaujamą SMS žinutę kuriame yra dviejų veiksnių autentifikavimo kodas prie jų paskyros“, – Ray Walsh, duomenų privatumo ekspertas privatumo peržiūros svetainė „ProPrivacy“., sakė interviu el.
„Po to nukentėjusysis gauna tiesioginį pranešimą iš kontakto, kuriame teigiama, kad netyčia atsiuntė jiems kodą. Galiausiai aukos prašoma persiųsti įsilaužėliui kodą, kuris suteikia jiems greitą prieigą prie aukos paskyros.
Programinė įranga taip pat gali būti problema. „Dėl įrenginio pažeidžiamumo MFA galėjo pasiklausyti nutekėjusios programėlės arba Sugadintas įrenginys, kurio vartotojas nežino“, – vyriausybės sprendimų konsultantas George'as Freemanas grupė „LexisNexis“ rizikos sprendimai, sakė interviu el.
Dar neatsisakykite savo telefono
Tačiau ekspertai teigia, kad teksto pagrindu sukurta MFA yra geriau nei nieko. „MFA yra vienas iš galingiausių įrankių, kuriuos turi vartotojas, kad apsaugotų savo paskyras“, – sakė Markas Nunnikhovenas, debesijos tyrimų viceprezidentas. kibernetinio saugumo įmonė „Trend Micro“., sakė interviu el.
„Jis turėtų būti įjungtas, kai tik įmanoma. Jei turite pasirinkimą, naudokite autentifikavimo programą savo išmaniajame telefone, bet galų gale tiesiog įsitikinkite, kad MFA yra įjungta bet kokia forma.
Paprastas ir nebrangus būdas padidinti saugumą yra naudoti autentifikavimo programą savo telefone, Peter Robert, vienas iš įkūrėjų ir generalinis direktorius. IT įmonė „Expert Computer Solutions“., sakė interviu el.
„Jei turite biudžetą ir manote, kad saugumas yra labai svarbus, raginčiau įvertinti aparatinės įrangos MFA raktus“, – pridūrė jis. „Įmonėms ir asmenims, besirūpinantiems saugumu, taip pat rekomenduočiau tamsųjį internetą stebėjimo paslauga, kad praneštumėte, ar asmeninė informacija apie jus yra prieinama ir parduodama tamsoje žiniatinklyje“.
Dėl daugiau Misija neįmanoma- stiliaus požiūris, naujas standartas FIDO2 su Webauthn naudoja biometrinį autentifikavimą, sako Freemanas. „Vartotojas prisijungia prie finansinės svetainės, įveda vartotojo vardą, svetainė susisiekia su [vartotojo] mobiliuoju įrenginiu, saugi programėlė [telefone], tada paprašo vartotojo įvesti [jų] veido ID arba piršto atspaudą. Kai pavyksta, ji patvirtina žiniatinklio sesiją“, – sakė jis.
Esant tiek daug galimų grėsmių, gali būti laikas pradėti ieškoti saugesnių būdų prisijungti prie svetainių, kuriose saugoma asmeninė informacija. Piratai gali slypėti žiniatinklyje ir tik laukti, kol perims jūsų slaptažodį.