Dlaczego uwierzytelnianie przez telefon może być niepewne
Kluczowe dania na wynos
- Eksperci twierdzą, że hakerzy mogą ukraść kody uwierzytelniania wieloskładnikowego (MFA) oparte na telefonie.
- Firmy telekomunikacyjne zostały oszukane w celu przeniesienia numerów telefonów, aby umożliwić przestępcom uzyskanie kodów.
- Prostym, tanim sposobem na zwiększenie bezpieczeństwa jest użycie aplikacji uwierzytelniającej na telefonie.
Aby chronić się przed hakerami, przestań używać kodów uwierzytelniania wieloskładnikowego (MFA) w telefonie wysyłanych za pośrednictwem SMS-ów i połączeń głosowych – pisze w nowej analizie czołowy ekspert ds. bezpieczeństwa.
Kody telefoniczne są podatne na przechwycenie przez hakerów, napisał Alex Weinert, dyrektor ds. bezpieczeństwa tożsamości w firmie Microsoft ostatni wpis na blogu. Obserwatorzy twierdzą, że kody tekstowe są lepsze niż nic. Jednak użytkownicy powinni zastąpić uwierzytelnianie przez telefon aplikacjami i kluczami bezpieczeństwa.
„Te mechanizmy opierają się na publicznie komutowanych sieciach telefonicznych (PSTN) i uważam, że są najmniej bezpieczną z dostępnych obecnie metod MFA” – napisał.
„Ta luka powiększy się tylko wtedy, gdy przyjęcie MFA zwiększy zainteresowanie atakujących łamaniem tych metod, a specjalnie skonstruowane moduły uwierzytelniające zwiększą ich zalety w zakresie bezpieczeństwa i użyteczności. Zaplanuj przejście na silne uwierzytelnianie bez hasła już teraz — aplikacja uwierzytelniająca zapewnia natychmiastową i ewoluującą opcję”.
MFA to metoda zabezpieczeń, w której użytkownik komputera uzyskuje dostęp do witryny internetowej lub aplikacji dopiero po pomyślnym przedstawieniu dwóch lub więcej dowodów w mechanizmie uwierzytelniania. Te kody są często wysyłane telefonicznie.
Hakerzy udają, że są tobą
Istnieją jednak sposoby, w jakie hakerzy mogą uzyskać dostęp do kodów telefonicznych, twierdzą jednak obserwatorzy. W niektórych przypadkach firmy telefoniczne zostały oszukane do przeniesienia numerów telefonów, aby umożliwić hakerom uzyskanie kodów.
„Telefony są tak niepewne, że użytkownicy często otrzymują fałszywe połączenia kierowane do nich z krajów trzeciego świata, pokazując amerykańskie regionalne numery telefonów”, Matthew Rogers, CISO z dostawca chmury Składnia, powiedział w e-mailowym wywiadzie. „Telefony są również narażone na ataki polegające na zamianie kart SIM, które mogą z łatwością ominąć MFA za pośrednictwem wiadomości tekstowych”.
Ostatnio popularny prezenter radiowy BBC Jeremy Vine został ofiarą ataku, który doprowadził do penetracji jego konta WhatsApp.
„Atak, którym udało się oszukać Vine’a, zaczyna się od otrzymania pozornie niechcianej wiadomości SMS który zawiera dwuskładnikowy kod uwierzytelniający do ich konta”, Ray Walsh, ekspert ds. prywatności danych w strona z recenzjami prywatności ProPrivacy, powiedział w e-mailowym wywiadzie.
„Następnie ofiara otrzymuje bezpośrednią wiadomość od kontaktu, który twierdzi, że przypadkowo wysłał jej kod. Na koniec ofiara jest proszona o przekazanie hakerowi kodu, co daje jej natychmiastowy dostęp do konta ofiary”.
Problemem może być również oprogramowanie. „Ze względu na luki w zabezpieczeniach urządzenia MFA może zostać podsłuchiwany przez nieszczelną aplikację lub zhakowane urządzenie, którego użytkownik nie jest świadomy” – George Freeman, konsultant ds. rozwiązań w rządzie Grupa Rozwiązania ryzyka LexisNexis, powiedział w e-mailowym wywiadzie.
Nie rezygnuj jeszcze z telefonu
Eksperci twierdzą jednak, że tekstowe MFA jest lepsze niż nic. „MFA to jedno z najpotężniejszych narzędzi, jakie użytkownik musi mieć, aby chronić swoje konta”, Mark Nunnikhoven, wiceprezes ds. badań w chmurze w firmie firma zajmująca się cyberbezpieczeństwem Trend Micro, powiedział w e-mailowym wywiadzie.
„Powinno być włączone, gdy tylko jest to możliwe. Jeśli masz wybór, użyj aplikacji uwierzytelniającej na smartfonie, ale na koniec upewnij się, że usługa MFA jest włączona w dowolnej formie”.
Prostym, tanim sposobem na zwiększenie bezpieczeństwa jest użycie aplikacji uwierzytelniającej na telefonie, Peter Robert, współzałożyciel i dyrektor generalny Firma IT Expert Computer Solutions, powiedział w e-mailowym wywiadzie.
„Jeśli dysponujesz budżetem i uważasz, że bezpieczeństwo ma kluczowe znaczenie, zachęcam Cię do oceny sprzętowych kluczy MFA” — dodał. „Dla firm i osób, które obawiają się o bezpieczeństwo, polecam również ciemną sieć usługa monitorowania, aby poinformować Cię, czy Twoje dane osobowe są dostępne i do sprzedaży w ciemności sieć."
Na więcej Niewykonalna misja-stylowe podejście, nowy standard FIDO2 z Webauthn używa uwierzytelniania biometrycznego, mówi Freeman. „Użytkownik łączy się ze stroną finansową, wprowadza nazwę użytkownika, witryna kontaktuje się z urządzeniem mobilnym użytkownika, bezpieczna aplikacja na telefonie, a następnie prosi użytkownika o identyfikator twarzy lub odcisk palca. Gdy się powiedzie, uwierzytelnia sesję internetową” – powiedział.
Przy tak wielu możliwych zagrożeniach może nadszedł czas, aby zacząć szukać bezpieczniejszych sposobów logowania się na stronach internetowych, które przechowują dane osobowe. Hakerzy mogą czaić się w sieci, tylko czekając na przechwycenie hasła.