Эксперты компании Microsoft в очередной раз подняли вопрос о небезопасности многофакторной аутентификации через телефон, то есть посредством одноразовых кодов в SMS-сообщениях или голосовых вызовов. Вместо этого компания призывает использовать более новые технологи, в том числе приложения-аутентификаторы и ключи безопасности.
На этот раз предупреждение исходит от главы по безопасности идентификационной информации компании, Алекса Вейнерта (Alex Weinert). В прошлом году, ссылаясь на внутреннюю статистику Microsoft, эксперт писал, что пользователи, включившие многофакторную аутентификацию (МФА), были защищены от 99,9% автоматических атак на свои учетные записи. Однако теперь Вейнерт объясняет, что если у пользователя есть стоит между несколькими способами МФА, то ни в коем случае нельзя делать выбор в пользу телефона.
Эксперт рассказывает, что многофакторная аутентификация через телефон может зависеть хотя бы от состояния телефонных сетей. Так как SMS-сообщения и голосовые вызовы передаются в открытом виде, они могут быть легко перехвачены злоумышленниками с помощью таких методов и инструментов, как SDR (Software-Defined Radio), FEMTO или различных багов SS7.
Кроме того, одноразовые коды из SMS-сообщений могут быть извлечены с помощью опенсорсных и доступных фишинговых инструментов, таких как Modlishka, CredSniper или Evilginx. Или же сотрудники мобильных операторов могут быть обмануты мошенниками с целью подмены SIM-карты жертвы (такие атаки обычно называют SIM swap), что позволит злоумышленникам получать одноразовые коды МФА от лица цели.
По словам Вейнерта, все это делает МФА на основе SMS-сообщений и голосовых вызовов «наименее безопасным из всех доступных на сегодня методов МФА». Специалист советует пользователям применять более мощный механизм многофакторной аутентификации, если таковой доступен, и рекомендует приложение Microsoft Authenticator. А если пользователи хотят только лучшего, им вообще следует использовать аппаратные ключи, которые Вайнерт еще в прошлом году называл лучшим решением в области МФА.
Напомню, что высказанная Вейнертом точка зрения совсем не нова. Еще в 2016 году Национальный институт стандартов и технологий США (The National Institute of Standards and Technology, NIST) представил документ, согласно которому, использование SMS-сообщений для осуществления двухфакторной аутентификации в будущем поощряться не будет. В документе содержится прямое указание на то, что использование SMS-сообщений для двухфакторной аутентификации будет рассматриваться как «недопустимое» и «небезопасное».
miradmin
13.11.2020 в 10:01
Неужто дошло?
«…SMS-сообщения и голосовые вызовы передаются в открытом виде, они могут быть легко перехвачены злоумышленниками…»
А учитывая, что в РФ весь SMS трафик идёт в открытом виде через СОРМ, ни о какой безопасности вообще не может быть и речи.
r0b0t1x
13.11.2020 в 11:03
СОРМ работает,когда личностью заинтересовался товарищ майор
Jeffrey Davis
13.11.2020 в 13:50
Когда решил, что пора подзаработать.
ShasOKais
13.11.2020 в 13:10
По большей части пользователи ленивы и не станут утруждать себя безопасностью. Все таки проще всего получить код по смс. И все таки и кому надо достанут нужные им одноразовые ключи.
dmitro_379
16.11.2020 в 11:51
Проще всего получить код через тот же Google Authenticator, если настроить ессно, зато смс нынче не всегда получишь вовремя или вообще не получишь, а так раз и готово.
Anton
16.11.2020 в 10:24
Помню была неплохая идея с двухфактарной аутентификации через телеграм, можно было легко добавить в личные проекты для личных нужд. Вроде было какое-то приложение от гугла, заменяющее sms коды. Теперь вот MS рекламит своё. Всё это чушь и ерунда. Приложения может быть и более безопасны, но, они все зависят от наличия рабочего смарта с рабочим интернетом в твоих руках. Всё херня, и то и это.
dmitro_379
16.11.2020 в 11:57
Таким приложения, после добавления записи не нужен интернет, проверено на GA.
Впрочем, вообще не нужен интернет, ключ вводимый при настройке записи можно списать с экрана ноута например, а потом пользоваться прогой, что касается потребности в наличии рабочего смарта так смс без интернета тоже работает, а на не рабочий смарт и смс не придет.