Корпорация Microsoft призывает отказаться от решений многофакторной аутентификации на основе телефона: одноразовые СМС-коды, голосовые вызовы, заменив их более новыми технологиями MFA: ключи безопасности, аутентификаторы на основе приложений.
С соответствующим предложением выступил руководитель департамента информационной безопасности Microsoft Алекс Вайнерт. Со ссылкой на внутреннюю статистику корпорации, Вайнерт отметил, что если пользователям надо выбирать между несколькими решениями MFA, тот им стоит полностью отказаться от многофакторной аутентификации по телефону.
Алекс Вайнерт отмечает, что голосовые вызовы и СМС передаются в открытом виде, поэтому их с легкостью могут перехватить киберпреступники с применением различных методов: службы перехвата SS7, ячейки FEMTO, программно-определяемые радиостанции. Одноразовые СМС-коды также можно заполучить с использованием открытых и доступных фишинговых инструментов: Evilginx, CredSniper, Modlishka.
Кроме того, современные телефонные сети подвержены меняющимся правилам, регламентам, проблемам с производительностью, что зачастую не позволяет пользователям пройти аутентификацию в моменты срочности. По мнению Алекса Вайнерта, всё это делает «многофакторную аутентификацию на основе голосовых вызовов и СМС-кодов наименее безопасным из доступных сегодня решений MFA».
«Многие пользователи постепенно переходят на многофакторную аутентификацию для своих учетных записей – причем везде, где такая возможность предоставляется. Поэтому нет ничего удивительного в том, что киберпреступники также активно интересуются взломом MFA. При этом СМС и голосовые вызовы будут их первоочередной целью», – отметил Алекс Вайнерт.
Специалист рекомендует пользователям со всего мира применять более мощные механизмы многофакторной аутентификации для своих учетных записей, если они доступны. В частности, Вайнерт настаивает на использовании приложения Microsoft Authenticator, которое «станет хорошей отправной точкой в этом направлении».
Если пользователи заинтересованы в более продвинутых технологиях, то Вайнерт советует им использовать аппаратные ключи безопасности, которые считаются «лучшим решением многофакторной аутентификации».
ЧИТАТЬ ВСЕ НОВОСТИ НА САЙТЕ | ПОДПИСЫВАЙТЕСЬ НА НАШ TELEGRAM КАНАЛ
