เหตุใดการตรวจสอบสิทธิ์ทางโทรศัพท์จึงไม่ปลอดภัย

เพื่อความปลอดภัยจากแฮกเกอร์ ให้หยุดใช้รหัสการตรวจสอบสิทธิ์แบบหลายปัจจัย (MFA) บนโทรศัพท์ที่ส่งผ่าน SMS และการโทร ผู้เชี่ยวชาญด้านความปลอดภัยชั้นนำเขียนบทวิเคราะห์ใหม่

รหัสโทรศัพท์เสี่ยงต่อการถูกแฮ็กเกอร์สกัดกั้น Alex Weinert ผู้อำนวยการด้านความปลอดภัยของข้อมูลประจำตัวของ Microsoft เขียนไว้ใน โพสต์บล็อกล่าสุด. ผู้สังเกตการณ์กล่าวว่ารหัสแบบข้อความดีกว่าไม่มีอะไรเลย แต่ผู้ใช้ควรแทนที่การตรวจสอบสิทธิ์ทางโทรศัพท์ด้วยแอปและคีย์ความปลอดภัย

"กลไกเหล่านี้ใช้เครือข่ายโทรศัพท์สาธารณะ (PSTN) และฉันเชื่อว่าวิธีการ MFA มีความปลอดภัยน้อยที่สุดในปัจจุบัน" เขาเขียน

"ช่องว่างนั้นจะกว้างขึ้นเมื่อการยอมรับ MFA เพิ่มความสนใจของผู้โจมตีในการทำลายวิธีการเหล่านี้และตัวตรวจสอบความถูกต้องที่สร้างขึ้นตามวัตถุประสงค์จะขยายข้อได้เปรียบด้านความปลอดภัยและความสามารถในการใช้งาน วางแผนการย้ายไปสู่การตรวจสอบสิทธิ์ที่รัดกุมแบบไม่ต้องใช้รหัสผ่านเลย แอปตัวตรวจสอบความถูกต้องจะมอบตัวเลือกที่เปลี่ยนแปลงทันทีและพัฒนาขึ้น"

MFA เป็นวิธีการรักษาความปลอดภัยที่ผู้ใช้คอมพิวเตอร์ได้รับอนุญาตให้เข้าถึงเว็บไซต์หรือแอปพลิเคชันหลังจากนำเสนอหลักฐานสองชิ้นขึ้นไปต่อกลไกการตรวจสอบความถูกต้องแล้วเท่านั้น รหัสเหล่านี้มักจะส่งทางโทรศัพท์

แฮกเกอร์แกล้งทำเป็นคุณ

มีหลายวิธีที่แฮ็กเกอร์สามารถเข้าถึงรหัสโทรศัพท์ได้ อย่างไรก็ตาม ผู้สังเกตการณ์กล่าว ในบางกรณี บริษัทโทรศัพท์ถูกหลอกให้โอนหมายเลขโทรศัพท์เพื่อให้แฮกเกอร์ได้รับรหัส

"โทรศัพท์ไม่ปลอดภัยมากจนผู้ใช้มักจะได้รับสายหลอกลวงจากประเทศโลกที่สามในขณะที่แสดงหมายเลขโทรศัพท์ในภูมิภาคของอเมริกา" Matthew Rogers, CISO ของ ผู้ให้บริการคลาวด์ ไวยากรณ์กล่าวในการสัมภาษณ์ทางอีเมล "โทรศัพท์ยังถูกโจมตีด้วยการเปลี่ยนซิม ซึ่งสามารถเลี่ยงผ่าน MFA ผ่านข้อความได้อย่างง่ายดาย"

เมื่อเร็วๆ นี้ Jeremy Vine พิธีกรรายการวิทยุชื่อดังของ BBC ตกเป็นเหยื่อของการโจมตีที่ทำให้บัญชี WhatsApp ของเขาถูกเจาะระบบ

"การโจมตีที่หลอกให้เถาวัลย์สำเร็จ เริ่มต้นด้วยการรับข้อความ SMS ที่ดูเหมือนไม่พึงประสงค์ ที่มีรหัสการตรวจสอบสิทธิ์แบบสองปัจจัยในบัญชีของพวกเขา" Ray Walsh ผู้เชี่ยวชาญด้านความเป็นส่วนตัวของข้อมูลที่ เว็บไซต์ตรวจสอบความเป็นส่วนตัว ProPrivacyกล่าวในการสัมภาษณ์ทางอีเมล

“หลังจากนั้น เหยื่อได้รับข้อความตรงจากผู้ติดต่อที่อ้างว่าได้ส่งรหัสให้พวกเขาโดยบังเอิญ สุดท้าย ขอให้เหยื่อส่งต่อรหัสให้แฮ็กเกอร์ ซึ่งจะทำให้พวกเขาเข้าถึงบัญชีของเหยื่อได้ทันที"

ซอฟต์แวร์อาจเป็นปัญหาได้เช่นกัน "เนื่องจากช่องโหว่ของอุปกรณ์ MFA อาจถูกดักฟังโดยแอปที่รั่วไหลหรือ อุปกรณ์ที่ถูกบุกรุกที่ผู้ใช้ไม่ทราบ" จอร์จ ฟรีแมน ที่ปรึกษาด้านโซลูชั่นของรัฐบาล กลุ่มของ LexisNexis Risk Solutionsกล่าวในการสัมภาษณ์ทางอีเมล

อย่ายอมแพ้โทรศัพท์ของคุณ

อย่างไรก็ตาม MFA แบบข้อความนั้นดีกว่าไม่มีอะไรเลย ผู้เชี่ยวชาญกล่าว "MFA เป็นหนึ่งในเครื่องมือที่ทรงพลังที่สุดที่ผู้ใช้ต้องปกป้องบัญชีของตน" Mark Nunnikhoven รองประธานฝ่ายวิจัยระบบคลาวด์ของ บริษัทรักษาความปลอดภัยทางไซเบอร์ Trend Microกล่าวในการสัมภาษณ์ทางอีเมล

"ควรเปิดใช้งานทุกครั้งที่ทำได้ หากคุณมีทางเลือก ให้ใช้แอปตรวจสอบสิทธิ์บนสมาร์ทโฟนของคุณ แต่สุดท้ายแล้ว ตรวจสอบให้แน่ใจว่าได้เปิดใช้งาน MFA ในทุกรูปแบบ"

วิธีง่ายๆ ราคาประหยัดในการเพิ่มความปลอดภัยคือการใช้แอปตรวจสอบความถูกต้องบนโทรศัพท์ของคุณ Peter Robert ผู้ร่วมก่อตั้งและ CEO ของ บริษัทไอที ผู้เชี่ยวชาญ คอมพิวเตอร์โซลูชั่นกล่าวในการสัมภาษณ์ทางอีเมล

“หากคุณมีงบประมาณและคิดว่าการรักษาความปลอดภัยมีความสำคัญ เราขอแนะนำให้คุณประเมินคีย์ MFA ที่ใช้ฮาร์ดแวร์” เขากล่าวเสริม "สำหรับธุรกิจและบุคคลที่กังวลเกี่ยวกับความปลอดภัย ฉันก็ขอแนะนำเว็บที่มืดมิดเช่นกัน บริการตรวจสอบเพื่อแจ้งให้คุณทราบหากมีข้อมูลส่วนบุคคลเกี่ยวกับตัวคุณและขายในที่มืด เว็บ."

เพิ่มเติม ภารกิจที่เป็นไปไม่ได้-แนวทางสไตล์ มาตรฐานใหม่ FIDO2 กับ Webauthn ใช้การพิสูจน์ตัวตนแบบไบโอเมตริกซ์ Freeman กล่าว "ผู้ใช้เชื่อมต่อกับเว็บไซต์ทางการเงิน ป้อนชื่อผู้ใช้ เว็บไซต์ติดต่อกับอุปกรณ์มือถือของผู้ใช้ [the] แอปที่ปลอดภัยบนโทรศัพท์ [the] จากนั้นให้ผู้ใช้ระบุ ID ใบหน้าหรือลายนิ้วมือ [ของพวกเขา] เมื่อประสบความสำเร็จ มันจะตรวจสอบเซสชันของเว็บ” เขากล่าว

ด้วยภัยคุกคามที่เป็นไปได้มากมาย อาจถึงเวลาที่จะเริ่มมองหาวิธีที่ปลอดภัยยิ่งขึ้นในการเข้าสู่ระบบเว็บไซต์ที่จัดเก็บข้อมูลส่วนบุคคล แฮกเกอร์อาจแฝงตัวอยู่บนเว็บเพื่อรอสกัดกั้นรหัสผ่านของคุณ