Telefon Tabanlı Kimlik Doğrulama Neden Güvensiz Olabilir?
Önemli Çıkarımlar
- Uzmanlar, bilgisayar korsanlarının telefon tabanlı çok faktörlü kimlik doğrulama (MFA) kodlarını çalabileceğini söylüyor.
- Telefon şirketleri, suçluların kodları almasına izin vermek için telefon numaralarını aktarmaları için kandırıldı.
- Güvenliği artırmanın basit ve düşük maliyetli bir yolu, telefonunuzdaki kimlik doğrulama uygulamasını kullanmaktır.
Üst düzey bir güvenlik uzmanı yeni bir analizde, bilgisayar korsanlarından korunmak için SMS ve sesli aramalarla gönderilen telefon tabanlı çok faktörlü kimlik doğrulama (MFA) kodlarını kullanmayı bırakın.
Microsoft'ta kimlik güvenliği direktörü Alex Weinert, telefon kodlarının bilgisayar korsanları tarafından ele geçirilmesine karşı savunmasız olduğunu yazdı. son blog yazısı. Gözlemciler, metin tabanlı kodların hiç olmamasından daha iyi olduğunu söylüyor. Ancak kullanıcılar, telefon tabanlı kimlik doğrulamasını uygulamalar ve güvenlik anahtarlarıyla değiştirmelidir.
"Bu mekanizmalar, genel olarak anahtarlanan telefon ağlarına (PSTN) dayanıyor ve bugün mevcut olan MFA yöntemlerinin en az güvenli olduklarına inanıyorum" diye yazdı.
"Bu boşluk, yalnızca MFA'nın benimsenmesi, saldırganların bu yöntemleri kırma konusundaki ilgisini artırdıkça ve amaca yönelik oluşturulmuş doğrulayıcılar güvenlik ve kullanılabilirlik avantajlarını artırdıkça genişleyecektir. Parolasız güçlü yetkilendirmeye geçişinizi şimdi planlayın; kimlik doğrulama uygulaması, anında ve gelişen bir seçenek sunar."
MFA, bir bilgisayar kullanıcısına ancak iki veya daha fazla kanıt parçasını bir kimlik doğrulama mekanizmasına başarıyla sunduktan sonra bir web sitesine veya uygulamaya erişim izni verildiği bir güvenlik yöntemidir. Bu kodlar genellikle telefonla gönderilir.
Hackerlar Siz Gibi Davranıyor
Ancak gözlemciler, bilgisayar korsanlarının telefon kodlarına erişmesinin yolları olduğunu söylüyor. Bazı durumlarda, telefon şirketleri, bilgisayar korsanlarının kodları almasına izin vermek için telefon numaralarını aktarmaları için kandırılmıştır.
CISO'su Matthew Rogers, "Telefonlar o kadar güvensiz ki, kullanıcılar genellikle üçüncü dünya ülkelerinden kendilerine yönlendirilen ve Amerikan bölgesel telefon numaralarını gösteren dolandırıcılık çağrıları alıyorlar," bulut sağlayıcı Sözdizimi, bir e-posta röportajında söyledi. "Telefonlar ayrıca kısa mesaj yoluyla MFA'yı kolayca atlayabilen SIM değiştirme saldırılarına da maruz kalır."
Son zamanlarda, popüler BBC radyo sunucusu Jeremy Vine, WhatsApp hesabına girilmesine neden olan bir saldırının kurbanı oldu.
"Vine'ı başarıyla kandıran saldırı, görünüşte istenmeyen bir SMS mesajının alınmasıyla başlıyor. hesaplarına iki faktörlü kimlik doğrulama kodunu içeren," Ray Walsh, veri gizliliği uzmanı gizlilik inceleme sitesi ProPrivacy, bir e-posta röportajında söyledi.
"Bunu takiben, mağdur, kendisine yanlışlıkla bir kod gönderdiğini iddia eden bir kişiden doğrudan bir mesaj alır. Son olarak, kurbandan bilgisayar korsanına kurbanın hesabına anında erişim sağlayan kodu iletmesi istenir."
Yazılım da sorun olabilir. "Cihaz güvenlik açıkları nedeniyle, MFA potansiyel olarak sızdıran bir uygulama veya Kullanıcının farkında olmadığı, güvenliği ihlal edilmiş cihaz," George Freeman, hükümette çözüm danışmanı grup LexisNexis Risk Çözümleri, bir e-posta röportajında söyledi.
Henüz Telefonunuzdan Vazgeçmeyin
Ancak uzmanlar, metin tabanlı MFA'nın hiç olmamasından daha iyi olduğunu söylüyor. Bulut araştırmaları başkan yardımcısı Mark Nunnikhoven, "MFA, bir kullanıcının hesaplarını korumak için sahip olduğu en güçlü araçlardan biridir." siber güvenlik şirketi Trend Micro, bir e-posta röportajında söyledi.
"Mümkün olduğunda etkinleştirilmelidir. Seçme şansınız varsa, akıllı telefonunuzda bir kimlik doğrulama uygulaması kullanın - ancak sonunda, MFA'nın herhangi bir biçimde etkinleştirildiğinden emin olun."
Güvenliği artırmanın basit ve düşük maliyetli bir yolu, telefonunuzda kimlik doğrulama uygulamasını kullanmaktır, Peter Robert, şirketin kurucu ortağı ve CEO'su. BT şirketi Uzman Bilgisayar Çözümleri, bir e-posta röportajında söyledi.
“Bütçeniz varsa ve güvenliğin kritik olduğunu düşünüyorsanız, donanım tabanlı MFA anahtarlarını değerlendirmenizi tavsiye ederim” diye ekledi. "Güvenlik konusunda endişe duyan işletmeler ve bireyler için ayrıca bir dark web tavsiye ederim. hakkınızdaki kişisel bilgilerin mevcut olup olmadığını ve karanlıkta satılıp satılmadığını size bildiren izleme hizmeti ağ."
daha fazlası için İmkansız görev-stil yaklaşımı, yeni standart Webauthn ile FIDO2 Freeman, biyometrik kimlik doğrulama kullandığını söylüyor. "Kullanıcı bir finans sitesine bağlanır, bir kullanıcı adı girer, web sitesi kullanıcının mobil cihazıyla iletişim kurar, [the] telefonundaki güvenli bir uygulama daha sonra kullanıcıdan [kendi] yüz kimliğini veya parmak izini ister. Başarılı olduğunda, web oturumunun kimliğini doğrular" dedi.
Bu kadar çok olası tehdit varken, kişisel bilgileri depolayan web sitelerinde oturum açmanın daha güvenli yollarını aramaya başlamanın zamanı gelmiş olabilir. Bilgisayar korsanları, şifrenizi ele geçirmeyi bekleyen web'de gizleniyor olabilir.