Kāpēc tālruņa autentifikācija var būt nedroša?
Key Takeaways
- Eksperti saka, ka hakeri var nozagt tālruņu daudzfaktoru autentifikācijas (MFA) kodus.
- Tālruņu kompānijas ir apmānītas, pārsūtot tālruņu numurus, lai ļautu noziedzniekiem iegūt kodus.
- Vienkāršs un lēts veids, kā palielināt drošību, ir tālrunī izmantot autentifikācijas lietotni.
Lai pasargātu sevi no hakeriem, pārtrauciet izmantot tālruņu daudzfaktoru autentifikācijas (MFA) kodus, kas tiek nosūtīti, izmantojot SMS un balss zvanus, jaunā analīzē raksta augstākais drošības eksperts.
Tālruņa kodi ir neaizsargāti pret hakeru pārtveršanu, savā ziņojumā rakstīja Microsoft identitātes drošības direktors Alekss Vainerts. nesenais emuāra ieraksts. Uz tekstu balstīti kodi ir labāki par neko, saka novērotāji. Taču lietotājiem tālruņa autentifikācija ir jāaizstāj ar lietotnēm un drošības atslēgām.
"Šie mehānismi ir balstīti uz publiski komutētiem tālruņu tīkliem (PSTN), un es uzskatu, ka tie ir vismazāk drošākie no šodien pieejamajām MFA metodēm," viņš rakstīja.
"Šī atšķirība tikai palielināsies, jo MFA ieviešana palielinās uzbrucēju interesi par šo metožu pārkāpšanu, un mērķtiecīgi izveidotie autentifikatori paplašina viņu drošības un lietojamības priekšrocības. Plānojiet savu pāreju uz stingru bezparoles autentifikāciju tūlīt — autentifikācijas lietotne nodrošina tūlītēju un attīstāmu iespēju.
MFA ir drošības metode, kurā datora lietotājam tiek piešķirta piekļuve vietnei vai lietojumprogrammai tikai pēc tam, kad autentifikācijas mehānismā ir veiksmīgi uzrādīti divi vai vairāki pierādījumi. Šie kodi bieži tiek nosūtīti pa tālruni.
Hakeri izliekas par tevi
Tomēr novērotāji saka, ka ir veidi, kā hakeri var piekļūt tālruņu kodiem. Dažos gadījumos tālruņu kompānijas ir tikušas pieviltas pārsūtīt tālruņu numurus, lai ļautu hakeriem iegūt kodus.
"Telefoni ir tik nedroši, ka lietotāji bieži saņem krāpnieciskus zvanus no trešām pasaules valstīm, vienlaikus rādot Amerikas reģionu tālruņu numurus," Metjū Rodžers, CISO. mākoņa pakalpojumu sniedzēja sintakse, teikts e-pasta intervijā. "Tālruņi ir pakļauti arī SIM maiņas uzbrukumiem, kas var viegli apiet MFA, izmantojot īsziņu."
Nesen populārais BBC radio vadītājs Džeremijs Veins cieta uzbrukumā, kura rezultātā tika iekļūts viņa WhatsApp kontā.
«Uzbrukums, kas veiksmīgi apmānīja Vīne, sākas ar šķietami nepieprasītas īsziņas saņemšanu kas satur viņu konta divu faktoru autentifikācijas kodu," Rejs Volšs, datu konfidencialitātes eksperts uzņēmumā privātuma pārskatīšanas vietne ProPrivacy, teikts e-pasta intervijā.
"Pēc tam cietušais saņem tiešu ziņojumu no kontaktpersonas, kas apgalvo, ka nejauši nosūtījis viņam kodu. Visbeidzot, cietušais tiek lūgts pārsūtīt hakeram kodu, kas nodrošina tūlītēju piekļuvi upura kontam.
Problēma var būt arī programmatūra. "Ierīču ievainojamību dēļ MFA, iespējams, varētu noklausīties kāda lietotne vai apdraudēta ierīce, par kuru lietotājs nezina," Džordžs Frīmens, valdības risinājumu konsultants grupa no LexisNexis riska risinājumi, teikts e-pasta intervijā.
Vēl neatdodiet savu tālruni
Tomēr uz tekstu balstīta MFA ir labāka par neko, saka eksperti. "MFA ir viens no jaudīgākajiem rīkiem, kas lietotājam ir nepieciešams, lai aizsargātu savus kontus," Mark Nunnikhoven, mākoņpētniecības viceprezidents kiberdrošības uzņēmums Trend Micro, teikts e-pasta intervijā.
"Tas ir jāiespējo, kad vien iespējams. Ja jums ir iespēja izvēlēties, izmantojiet autentifikācijas lietotni savā viedtālrunī, taču galu galā vienkārši pārliecinieties, vai MFA ir iespējota jebkurā formā."
Vienkāršs un lēts veids, kā palielināt drošību, ir izmantot autentifikācijas lietotni savā tālrunī. Pīters Roberts, uzņēmuma līdzdibinātājs un izpilddirektors. IT uzņēmums Expert Computer Solutions, teikts e-pasta intervijā.
"Ja jums ir budžets un uzskatāt, ka drošība ir kritiska, es iesaku novērtēt uz aparatūru balstītas MFA atslēgas," viņš piebilda. "Uzņēmumiem un privātpersonām, kurām ir bažas par drošību, es ieteiktu arī tumšo tīmekli uzraudzības pakalpojums, lai jūs zinātu, vai personiskā informācija par jums ir pieejama un pārdošanai tumsā tīmeklī."
Lai iegūtu vairāk Neiespējamā misija-stila pieeja, jaunais standarts FIDO2 ar Webauthn izmanto biometrisko autentifikāciju, saka Frīmens. "Lietotājs izveido savienojumu ar finanšu vietni, ievada lietotājvārdu, vietne sazinās ar [lietotāja] mobilo ierīci, droša lietotne [tālrunī] pēc tam pieprasa lietotājam [viņa] sejas ID vai pirkstu nospiedumu. Ja tas izdodas, tas autentificē tīmekļa sesiju," viņš teica.
Ņemot vērā tik daudz iespējamo apdraudējumu, varētu būt laiks sākt meklēt drošākus veidus, kā pieteikties vietnēs, kurās tiek glabāta personas informācija. Hakeri var slēpties tīmeklī, tikai gaidot, lai pārtvertu jūsu paroli.