Эксперты компании Microsoft в очередной раз подняли вопрос о небезопасности многофакторной аутентификации через телефон, то есть посредством одноразовых кодов в SMS-сообщениях или голосовых вызовов. Вместо этого компания призывает использовать более новые технологи, в том числе приложения-аутентификаторы и ключи безопасности.

На этот раз предупреждение исходит от главы по безопасности идентификационной информации компании, Алекса Вейнерта (Alex Weinert). В прошлом году, ссылаясь на внутреннюю статистику Microsoft, эксперт писал, что пользователи, включившие многофакторную аутентификацию (МФА), были защищены от 99,9% автоматических атак на свои учетные записи. Однако теперь Вейнерт объясняет, что если у пользователя есть стоит между несколькими способами МФА, то ни в коем случае нельзя делать выбор в пользу телефона.

Эксперт рассказывает, что многофакторная аутентификация через телефон может зависеть хотя бы от состояния телефонных сетей. Так как SMS-сообщения и голосовые вызовы передаются в открытом виде, они могут быть легко перехвачены злоумышленниками с помощью таких методов и инструментов, как SDR (Software-Defined Radio), FEMTO или различных багов SS7.

Кроме того, одноразовые коды из SMS-сообщений могут быть извлечены с помощью опенсорсных и доступных фишинговых инструментов, таких как Modlishka, CredSniper или Evilginx. Или же сотрудники мобильных операторов могут быть обмануты мошенниками с целью подмены SIM-карты жертвы (такие атаки обычно называют SIM swap), что позволит злоумышленникам получать одноразовые коды МФА от лица цели.

По словам Вейнерта, все это делает МФА на основе SMS-сообщений и голосовых вызовов «наименее безопасным из всех доступных на сегодня методов МФА». Специалист советует пользователям применять более мощный механизм многофакторной аутентификации, если таковой доступен, и рекомендует приложение Microsoft Authenticator. А если пользователи хотят только лучшего, им вообще следует использовать аппаратные ключи, которые Вайнерт еще в прошлом году называл лучшим решением в области МФА.

Напомню, что высказанная Вейнертом точка зрения совсем не нова. Еще в 2016 году Национальный институт стандартов и технологий США (The National Institute of Standards and Technology, NIST) представил документ, согласно которому, использование SMS-сообщений для осуществления двухфакторной аутентификации в будущем поощряться не будет. В документе содержится прямое указание на то, что использование SMS-сообщений для двухфакторной аутентификации будет рассматриваться как «недопустимое» и «небезопасное».

7 комментариев

  1. Аватар

    miradmin

    13.11.2020 в 10:01

    Неужто дошло?
    «…SMS-сообщения и голосовые вызовы передаются в открытом виде, они могут быть легко перехвачены злоумышленниками…»
    А учитывая, что в РФ весь SMS трафик идёт в открытом виде через СОРМ, ни о какой безопасности вообще не может быть и речи.

  2. Аватар

    r0b0t1x

    13.11.2020 в 11:03

    СОРМ работает,когда личностью заинтересовался товарищ майор

    • Аватар

      Jeffrey Davis

      13.11.2020 в 13:50

      когда личностью заинтересовался товарищ майор

      Когда решил, что пора подзаработать.

  3. Аватар

    ShasOKais

    13.11.2020 в 13:10

    По большей части пользователи ленивы и не станут утруждать себя безопасностью. Все таки проще всего получить код по смс. И все таки и кому надо достанут нужные им одноразовые ключи.

    • Аватар

      dmitro_379

      16.11.2020 в 11:51

      Проще всего получить код через тот же Google Authenticator, если настроить ессно, зато смс нынче не всегда получишь вовремя или вообще не получишь, а так раз и готово.

  4. Аватар

    Anton

    16.11.2020 в 10:24

    Помню была неплохая идея с двухфактарной аутентификации через телеграм, можно было легко добавить в личные проекты для личных нужд. Вроде было какое-то приложение от гугла, заменяющее sms коды. Теперь вот MS рекламит своё. Всё это чушь и ерунда. Приложения может быть и более безопасны, но, они все зависят от наличия рабочего смарта с рабочим интернетом в твоих руках. Всё херня, и то и это.

    • Аватар

      dmitro_379

      16.11.2020 в 11:57

      Таким приложения, после добавления записи не нужен интернет, проверено на GA.
      Впрочем, вообще не нужен интернет, ключ вводимый при настройке записи можно списать с экрана ноута например, а потом пользоваться прогой, что касается потребности в наличии рабочего смарта так смс без интернета тоже работает, а на не рабочий смарт и смс не придет.

Оставить мнение