Prečo môže byť autentifikácia cez telefón neistá

December 02, 2021
VNovinky Internetová Bezpečnosť

Kľúčové poznatky

Odborníci tvrdia, že hackeri môžu ukradnúť kódy viacfaktorovej autentifikácie (MFA) založené na telefóne.
Telefónne spoločnosti boli oklamané, aby preniesli telefónne čísla, aby umožnili zločincom získať kódy.
Jednoduchým a lacným spôsobom zvýšenia bezpečnosti je použitie autentifikačnej aplikácie v telefóne.

Ruky na klávesnici so smartfónom, peňaženkou a čítačkou kariet nad ňou. — Fotograf, Basak Gurbuz Derman / Getty Images

Ak chcete zostať v bezpečí pred hackermi, prestaňte používať telefónne kódy viacfaktorovej autentifikácie (MFA) odosielané prostredníctvom SMS a hlasových hovorov, píše špičkový bezpečnostný expert v novej analýze.

Telefónne kódy sú náchylné na zachytenie hackermi, napísal Alex Weinert, riaditeľ bezpečnosti identity v Microsofte. nedávny blogový príspevok. Podľa pozorovateľov sú textové kódy lepšie ako nič. Používatelia by však mali nahradiť autentifikáciu pomocou telefónu aplikáciami a bezpečnostnými kľúčmi.

"Tieto mechanizmy sú založené na verejných telefónnych sieťach (PSTN) a verím, že sú najmenej bezpečné zo súčasných dostupných metód MFA," napísal.

„Táto priepasť sa bude len prehlbovať, keď prijatie MFA zvýši záujem útočníkov o prelomenie týchto metód a účelové autentifikátory rozšíria svoje výhody v oblasti bezpečnosti a použiteľnosti. Naplánujte si prechod na silnú autentifikáciu bez hesla už teraz – aplikácia na autentifikáciu poskytuje okamžitú a vyvíjajúcu sa možnosť.“

MFA je metóda zabezpečenia, pri ktorej je používateľovi počítača udelený prístup k webovej lokalite alebo aplikácii až po úspešnom predložení dvoch alebo viacerých dôkazov autentifikačnému mechanizmu. Tieto kódy sa často posielajú telefonicky.

Hackeri predstierajú, že ste vy

Existujú však spôsoby, ako môžu hackeri získať prístup k telefónnym kódom, tvrdia pozorovatelia. V niektorých prípadoch boli telefónne spoločnosti oklamané, aby preniesli telefónne čísla, aby umožnili hackerom získať kódy.

„Telefóny sú také neisté, že používatelia budú často dostávať podvodné hovory smerované na ne z krajín tretieho sveta, pričom budú zobrazovať americké regionálne telefónne čísla,“ Matthew Rogers, CISO syntax poskytovateľa cloudu, povedal v e-mailovom rozhovore. "Telefóny sú tiež predmetom útokov na výmenu SIM kariet, ktoré môžu jednoducho obísť MFA prostredníctvom textovej správy."

Nedávno sa populárny rozhlasový moderátor BBC Jeremy Vine stal obeťou útoku, ktorý viedol k preniknutiu do jeho účtu WhatsApp.

„Útok, ktorý úspešne oklamal Vinea, začína prijatím zdanlivo nevyžiadanej SMS správy ktorý obsahuje dvojfaktorový overovací kód k ich účtu,“ Ray Walsh, odborník na ochranu osobných údajov v spoločnosti stránka na kontrolu ochrany osobných údajov ProPrivacy, povedal v e-mailovom rozhovore.

„Potom obeť dostane priamu správu od kontaktu, ktorý tvrdí, že jej kód poslal náhodou. Nakoniec je obeť požiadaná, aby preposlala hackerovi kód, ktorý jej umožní okamžitý prístup k účtu obete."

Problémom môže byť aj softvér. „Vzhľadom na zraniteľnosť zariadení by MFA mohla byť potenciálne odpočúvaná deravou aplikáciou alebo kompromitované zariadenie, o ktorom používateľ nevie,“ George Freeman, poradca pre riešenia vo vláde skupina z Riešenia rizika LexisNexis, povedal v e-mailovom rozhovore.

Ešte sa nevzdávajte svojho telefónu

Podľa odborníkov je však MFA založená na texte lepšia ako nič. „MFA je jedným z najsilnejších nástrojov, ktoré má používateľ na ochranu svojich účtov,“ Mark Nunnikhoven, viceprezident cloudového výskumu v spoločnosti kybernetická bezpečnostná spoločnosť Trend Micro, povedal v e-mailovom rozhovore.

„Malo by to byť povolené vždy, keď je to možné. Ak máte na výber, použite autentifikačnú aplikáciu na svojom smartfóne – ale nakoniec sa uistite, že je MFA povolená v akejkoľvek forme.“

Jednoduchým a lacným spôsobom zvýšenia bezpečnosti je použitie autentifikačnej aplikácie vo vašom telefóne, Peter Robert, spoluzakladateľ a generálny riaditeľ spoločnosti IT spoločnosť Expert Computer Solutions, povedal v e-mailovom rozhovore.

„Ak máte rozpočet a považujete bezpečnosť za kritickú, odporúčam vám vyhodnotiť hardvérové kľúče MFA,“ dodal. „Pre firmy a jednotlivcov, ktorí sa obávajú bezpečnosti, by som tiež odporučil tmavý web monitorovacia služba, aby ste vedeli, či sú osobné informácie o vás dostupné a na predaj v tme web."

Detailný záber na prst na snímači odtlačkov prstov. — poctivý mike / Getty Images

Pre viac Nemožná misia- štýlový prístup, nový štandard FIDO2 s Webauthn používa biometrické overenie, hovorí Freeman. „Používateľ sa pripojí k finančnej stránke, zadá používateľské meno, webová lokalita kontaktuje [používateľa] mobilné zariadenie, zabezpečenú aplikáciu v [telefóne] a potom používateľa vyzve na zadanie [ich] ID tváre alebo odtlačku prsta. Keď bude úspešná, potom overí webovú reláciu,“ povedal.

S toľkými možnými hrozbami je možno čas začať hľadať bezpečnejšie spôsoby prihlásenia na webové stránky, ktoré uchovávajú osobné informácie. Hackeri môžu číhať na webe a čakať na zachytenie vášho hesla.