Зашто аутентификација заснована на телефону може бити несигурна

December 02, 2021
УВести Интернет и безбедност

Кључне Такеаваис

Хакери могу да украду кодове за вишефакторну аутентификацију (МФА) засновану на телефону, кажу стручњаци.
Телефонске компаније су преварене да пренесу телефонске бројеве како би омогућили криминалцима да добију кодове.
Једноставан, јефтин начин да повећате безбедност је да користите апликацију за аутентификацију на свом телефону.

Руке на тастатури са паметним телефоном, новчаником и читачем картица поређаним изнад. — Фотограф, Басак Гурбуз Дерман / Гетти Имагес

Да бисте били сигурни од хакера, престаните да користите кодове за вишефакторну аутентификацију (МФА) засновану на телефону који се шаљу путем СМС-а и гласовних позива, пише врхунски стручњак за безбедност у новој анализи.

Телефонски кодови су рањиви на пресретање од стране хакера, написао је Алекс Вајнерт, директор за безбедност идентитета у Мајкрософту. недавни пост на блогу. Кодови засновани на тексту су бољи него ништа, кажу посматрачи. Али корисници би требало да замене аутентификацију засновану на телефону апликацијама и безбедносним кључевима.

„Ови механизми су засновани на јавно комутираним телефонским мрежама (ПСТН) и верујем да су најмање безбедни од МФА метода које су данас доступне“, написао је он.

„Тај јаз ће се само повећати како усвајање МФА повећава интересовање нападача за разбијање ових метода, а наменски направљени аутентификатори проширују своје предности у погледу безбедности и употребљивости. Планирајте свој прелазак на јаку аутентификацију без лозинке – апликација за аутентификацију пружа тренутну опцију која се развија.“

МФА је безбедносна метода у којој се кориснику рачунара одобрава приступ веб локацији или апликацији тек након што успешно представи два или више доказа механизму за аутентификацију. Ови кодови се често шаљу телефоном.

Хакери се претварају да сте ви

Међутим, постоје начини на који хакери могу да добију приступ телефонским кодовима, кажу посматрачи. У неким случајевима, телефонске компаније су преварене да пренесу телефонске бројеве како би хакерима омогућили да добију кодове.

„Телефони су толико несигурни да ће корисници често добијати преваре упућене на њих из земаља трећег света док показују америчке регионалне телефонске бројеве“, рекао је Метју Роџерс, ЦИСО из Синтакса добављача облака, рекао је у интервјуу мејлом. „Телефони су такође подложни нападима замене СИМ картице, који лако могу заобићи МФА путем текстуалне поруке.

Недавно је популарни радио водитељ ББЦ-а Џереми Вајн жртвован нападом који је довео до продора на његов ВхатсАпп налог.

„Напад који је успешно преварио Вајна почиње пријемом наизглед нежељене СМС поруке који садржи двофакторски код за аутентификацију њиховог налога“, Реј Волш, стручњак за приватност података у сајт за преглед приватности ПроПриваци, рекао је у интервјуу мејлом.

„Након тога, жртва добија директну поруку од контакта који тврди да им је случајно послао шифру. На крају, од жртве се тражи да проследи код хакера, који им даје тренутни приступ налогу жртве."

Софтвер такође може бити проблем. „Због рањивости уређаја, МФА би потенцијално могла бити прислушкивана од стране апликације која цури или компромитованог уређаја за који корисник није свестан“, Џорџ Фриман, саветник за решења у влади група ЛекисНекис Риск Солутионс, рекао је у интервјуу мејлом.

Не одустајте још од телефона

Међутим, МФА заснован на тексту је бољи него ништа, кажу стручњаци. „МФА је један од најмоћнијих алата које корисник има да заштити своје налоге“, рекао је Марк Нуниховен, потпредседник за истраживање облака у компанији компанија за сајбер безбедност Тренд Мицро, рекао је у интервјуу мејлом.

„То треба омогућити кад год је то могуће. Ако имате избора, користите апликацију за аутентификацију на свом паметном телефону - али на крају, само се уверите да је МФА омогућен у било ком облику."

Једноставан, јефтин начин да повећате безбедност је да користите апликацију за аутентификацију на вашем телефону, Петер Роберт, суоснивач и извршни директор ИТ компанија Екперт Цомпутер Солутионс, рекао је у интервјуу мејлом.

„Ако имате буџет и сматрате да је безбедност критична, подстакао бих вас да процените хардверске МФА кључеве“, додао је он. „За предузећа и појединце који су забринути за безбедност, такође бих препоручио мрачни веб услуга праћења која ће вас обавестити да ли су лични подаци о вама доступни и да ли се продају у мраку веб."

Крупни план прста на скенеру отиска прста. — хонестмике / Гетти Имагес

За више Немогућа мисија- стилски приступ, нови стандард ФИДО2 са Вебаутхном користи биометријску аутентификацију, каже Фриман. „Корисник се повезује на финансијски сајт, уноси корисничко име, веб локација контактира [корисников] мобилни уређај, безбедна апликација на [телефону] затим тражи од корисника [њихов] ИД лица или отисак прста. Када успе, онда потврђује аутентичност веб сесије", рекао је он.

Са толико могућих претњи, можда је време да почнете да тражите безбедније начине да се пријавите на веб локације које чувају личне податке. Хакери би могли да вребају на вебу и само чекају да пресретну вашу лозинку.