Чому автентифікація на основі телефону може бути небезпечною

Щоб убезпечити себе від хакерів, припиніть використовувати коди багатофакторної аутентифікації (MFA), які надсилаються за допомогою SMS і голосових дзвінків, пише експерт з безпеки в новому аналізі.

Телефонні коди вразливі до перехоплення з боку хакерів, пише Алекс Вайнерт, директор із безпеки ідентифікаційної інформації в Microsoft. останній пост у блозі. Спостерігачі кажуть, що текстові коди краще, ніж нічого. Але користувачам слід замінити автентифікацію на основі телефону програмами та ключами безпеки.

"Ці механізми засновані на загальнодоступних телефонних мережах (PSTN), і я вважаю, що вони найменш безпечні з доступних сьогодні методів MFA", - написав він.

«Цей розрив буде лише збільшуватися, оскільки прийняття MFA підвищить інтерес зловмисників до зламу цих методів, а спеціально створені аутентифікатори розширять свої переваги безпеки та зручності використання. Плануйте свій перехід до надійної аутентифікації без пароля зараз — програма аутентифікації надає миттєвий і розвивається варіант».

MFA – це метод безпеки, за якого користувачу комп’ютера надається доступ до веб-сайту або програми лише після успішного представлення двох або більше доказів механізму аутентифікації. Ці коди часто надсилаються по телефону.

Хакери прикидаються тобою

Проте, за словами спостерігачів, хакери можуть отримати доступ до телефонних кодів. У деяких випадках телефонні компанії були обманом перенесені телефонні номери, щоб дозволити хакерам отримати коди.

«Телефони настільки небезпечні, що користувачі часто отримують шахрайські дзвінки з країн третього світу, показуючи американські регіональні номери телефонів», – Метью Роджерс, CISO Синтаксис хмарного постачальника, сказав в інтерв'ю електронною поштою. «Телефони також піддаються атакам заміни SIM-карт, які можуть легко обійти МЗС за допомогою текстових повідомлень».

Нещодавно популярний радіоведучий BBC Джеремі Вайн став жертвою атаки, яка призвела до проникнення в його обліковий запис WhatsApp.

«Атака, яка успішно обдурила Vine, починається з отримання, здавалося б, небажаного SMS-повідомлення який містить двофакторний код аутентифікації для їхнього облікового запису", - сказав Рей Уолш, експерт із конфіденційності даних у сайт огляду конфіденційності ProPrivacy, сказав в інтерв'ю електронною поштою.

«Після цього жертва отримує пряме повідомлення від контакту, який стверджує, що випадково надіслав їм код. Нарешті, жертву просять переслати хакеру код, який дає їй миттєвий доступ до облікового запису жертви».

Програмне забезпечення також може бути проблемою. «Через вразливості пристроїв MFA потенційно може бути підслуховуване неякісним додатком або скомпрометований пристрій, про який користувач не знає», — Джордж Фріман, консультант з рішень уряду група з Рішення щодо ризиків LexisNexis, сказав в інтерв'ю електронною поштою.

Поки що не відмовляйтеся від телефону

Проте текстове MFA краще, ніж нічого, вважають експерти. «MFA є одним із найпотужніших інструментів, які користувач має для захисту своїх облікових записів», – Марк Нунніховен, віце-президент із дослідження хмарних технологій у компанія з кібербезпеки Trend Micro, сказав в інтерв'ю електронною поштою.

«Це слід увімкнути, коли це можливо. Якщо у вас є вибір, скористайтеся програмою для аутентифікації на своєму смартфоні, але зрештою переконайтеся, що MFA увімкнено в будь-якій формі».

Простий і недорогий спосіб підвищити безпеку – це використовувати програму аутентифікації на вашому телефоні, Пітер Роберт, співзасновник і генеральний директор ІТ-компанія Expert Computer Solutions, сказав в інтерв'ю електронною поштою.

«Якщо у вас є бюджет і ви вважаєте безпеку критичною, я б закликав вас оцінити апаратні ключі MFA», — додав він. «Для компаній та фізичних осіб, які турбуються про безпеку, я б також рекомендував темну мережу служба моніторингу, щоб повідомляти вам, чи доступна особиста інформація про вас і чи продається в темряві Інтернет».

Для більшого Місія неможлива-стильовий підхід, новий стандарт FIDO2 з Webauthn використовує біометричну аутентифікацію, каже Фріман. «Користувач підключається до фінансового сайту, вводить ім’я користувача, веб-сайт зв’язується з мобільним пристроєм [користувача], захищений додаток на [телефоні], а потім запитує користувача [їх] ідентифікатор обличчя або відбиток пальця. У разі успіху він аутентифікує веб-сесію", - сказав він.

З такою кількістю можливих загроз, можливо, настав час почати шукати більш безпечні способи входу на веб-сайти, які зберігають особисту інформацію. Хакери можуть ховатися в Інтернеті, просто чекаючи, щоб перехопити ваш пароль.