Microsoft призывает отказаться от многофакторной аутентификации по телефону

Дата: 12.11.2020. Автор: Артем П. Категории: Новости по информационной безопасности
Microsoft призывает отказаться от многофакторной аутентификации по телефону

Корпорация Microsoft призывает отказаться от решений многофакторной аутентификации на основе телефона: одноразовые СМС-коды, голосовые вызовы, заменив их более новыми технологиями MFA: ключи безопасности, аутентификаторы на основе приложений.

С соответствующим предложением выступил руководитель департамента информационной безопасности Microsoft Алекс Вайнерт. Со ссылкой на внутреннюю статистику корпорации, Вайнерт отметил, что если пользователям надо выбирать между несколькими решениями MFA, тот им стоит полностью отказаться от многофакторной аутентификации по телефону.

Алекс Вайнерт отмечает, что голосовые вызовы и СМС передаются в открытом виде, поэтому их с легкостью могут перехватить киберпреступники с применением различных методов: службы перехвата SS7, ячейки FEMTO, программно-определяемые радиостанции. Одноразовые СМС-коды также можно заполучить с использованием открытых и доступных фишинговых инструментов: Evilginx, CredSniper, Modlishka.

Кроме того, современные телефонные сети подвержены меняющимся правилам, регламентам, проблемам с производительностью, что зачастую не позволяет пользователям пройти аутентификацию в моменты срочности. По мнению Алекса Вайнерта, всё это делает «многофакторную аутентификацию на основе голосовых вызовов и СМС-кодов наименее безопасным из доступных сегодня решений MFA».

«Многие пользователи постепенно переходят на многофакторную аутентификацию для своих учетных записей – причем везде, где такая возможность предоставляется. Поэтому нет ничего удивительного в том, что киберпреступники также активно интересуются взломом MFA. При этом СМС и голосовые вызовы будут их первоочередной целью», – отметил Алекс Вайнерт.

Специалист рекомендует пользователям со всего мира применять более мощные механизмы многофакторной аутентификации для своих учетных записей, если они доступны. В частности, Вайнерт настаивает на использовании приложения Microsoft Authenticator, которое «станет хорошей отправной точкой в этом направлении».

Если пользователи заинтересованы в более продвинутых технологиях, то Вайнерт советует им использовать аппаратные ключи безопасности, которые считаются «лучшим решением многофакторной аутентификации».

Артем П

Об авторе Артем П

Автор на портале cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *