Hvorfor telefonbasert autentisering kan være usikker
Viktige takeaways
- Hackere kan stjele telefonbaserte multifaktorautentiseringskoder (MFA), sier eksperter.
- Telefonselskaper har blitt lurt til å overføre telefonnumre for å la kriminelle få kodene.
- En enkel, rimelig måte å øke sikkerheten på er å bruke autentiseringsappen på telefonen.
For å holde deg trygg mot hackere, slutt å bruke telefonbasert multi-faktor autentisering (MFA) koder sendt via SMS og taleanrop, skriver en topp sikkerhetsekspert i en ny analyse.
Telefonkoder er sårbare for avlytting av hackere, skrev Alex Weinert, direktør for identitetssikkerhet i Microsoft, i en siste blogginnlegg. Tekstbaserte koder er bedre enn ingenting, sier observatører. Men brukere bør erstatte telefonbasert autentisering med apper og sikkerhetsnøkler.
"Disse mekanismene er basert på offentlig svitsjede telefonnettverk (PSTN), og jeg tror de er den minst sikre av MFA-metodene som er tilgjengelige i dag," skrev han.
"Det gapet vil bare øke ettersom MFA-adopsjon øker angripernes interesse for å bryte disse metodene, og spesialbygde autentiseringer utvider deres sikkerhets- og brukervennlighetsfordeler. Planlegg overgangen til sterk autentisering uten passord nå – autentiseringsappen gir et umiddelbart og utviklende alternativ."
MFA er en sikkerhetsmetode der en datamaskinbruker kun gis tilgang til et nettsted eller en applikasjon etter å ha presentert to eller flere bevis til en autentiseringsmekanisme. Disse kodene sendes ofte på telefon.
Hackere utgir seg for å være deg
Det finnes måter hackere kan få tilgang til telefonkoder på, sier observatører. I noen tilfeller har telefonselskaper blitt lurt til å overføre telefonnumre for å la hackere få kodene.
"Telefoner er så usikre at brukere ofte vil få svindelanrop dirigert til dem fra tredjeverdensland mens de viser amerikanske regionale telefonnumre," Matthew Rogers, CISO i skyleverandør Syntax, sa i et e-postintervju. "Telefoner er også utsatt for SIM-bytteangrep, som enkelt kan omgå MFA via tekstmelding."
Nylig ble den populære BBC-radioverten Jeremy Vine utsatt for et angrep som førte til at WhatsApp-kontoen hans ble penetrert.
"Angrepet som vellykket lurte Vine starter med mottak av en tilsynelatende uønsket SMS-melding som inneholder tofaktorautentiseringskoden til kontoen deres," Ray Walsh, datapersonvernekspert ved personvernvurderingsside ProPrivacy, sa i et e-postintervju.
«Deretter mottar offeret en direkte melding fra en kontakt som hevder å ha sendt dem en kode ved et uhell. Til slutt blir offeret bedt om å videresende hackeren koden, som gir dem umiddelbar tilgang til offerets konto."
Programvare kan også være et problem. "På grunn av enhetssårbarheter kan MFA potensielt bli avlyttet av en lekk app eller en kompromittert enhet brukeren ikke er klar over," George Freeman, løsningskonsulent i myndighetene gruppe av LexisNexis Risk Solutions, sa i et e-postintervju.
Ikke gi opp telefonen din ennå
Imidlertid er tekstbasert MFA bedre enn ingenting, sier eksperter. "MFA er et av de kraftigste verktøyene en bruker har for å beskytte kontoene sine," Mark Nunnikhoven, visepresident for skyforskning ved cybersikkerhetsselskapet Trend Micro, sa i et e-postintervju.
"Det bør aktiveres når det er mulig. Hvis du har valget, kan du bruke en autentiseringsapp på smarttelefonen din – men til slutt må du bare sørge for at MFA er aktivert i alle former."
En enkel, rimelig måte å øke sikkerheten på er å bruke autentiseringsappen på telefonen din, Peter Robert, medgründer og administrerende direktør i IT-selskapet Expert Computer Solutions, sa i et e-postintervju.
"Hvis du har budsjettet og anser sikkerhet som kritisk, vil jeg oppfordre deg til å evaluere maskinvarebaserte MFA-nøkler," la han til. «For bedrifter og enkeltpersoner som er opptatt av sikkerhet, vil jeg også anbefale et mørkt nett overvåkingstjeneste for å fortelle deg om personlig informasjon om deg er tilgjengelig og for salg i mørket nett."
For en mer Umulig oppdrag-stil tilnærming, den nye standarden FIDO2 med Webauthn bruker biometrisk autentisering, sier Freeman. "Brukeren kobler til et finansnettsted, skriver inn et brukernavn, nettstedet kontakter [brukerens] mobilenhet, en sikker app på [telefonen] ber deretter brukeren om [deres] ansikts-ID eller fingeravtrykk. Når den lykkes, autentiserer den nettøkten," sa han.
Med så mange mulige trusler kan det være på tide å begynne å lete etter sikrere måter å logge på nettsteder som lagrer personlig informasjon. Hackere kan lurer på nettet og venter på å avskjære passordet ditt.