Microsoft призывает пользователей отказаться от решений многофакторной аутентификации (MFA) на основе телефона например, одноразовые коды, отправляемые с помощью SMS и голосовых вызовов, и вместо этого заменяют их новыми технологиями MFA, такими как аутентификаторы на основе приложений и ключи безопасности.
Предупреждение поступило от Алекса Вайнерта, директора по безопасности идентификационной информации Microsoft. В течение прошлого года Вайнерт выступал от имени Microsoft, призывая пользователей использовать и активировать MFA для своих онлайн-аккаунтов.
Ссылаясь на внутреннюю статистику Microsoft, Вайнерт сказал в прошлогоднем блоге, что пользователи, включившие многофакторную аутентификацию (MFA), в конечном итоге блокировали около 99,9% автоматических атак на свои учетные записи Microsoft.
Но в последующем сообщении в блоге сегодня Вайнерт говорит, что если пользователям приходится выбирать между несколькими решениями MFA, им следует держаться подальше от MFA на основе телефона.
Руководитель Microsoft ссылается на несколько известных проблем безопасности не с MFA, а с состоянием телефонных сетей сегодня.
Вейнерт говорит, что как SMS, так и голосовые вызовы передаются в открытом виде и могут быть легко перехвачены решительными злоумышленниками с использованием таких методов и инструментов, как программно-определяемые радиостанции, ячейки FEMTO или службы перехвата SS7.
Одноразовые коды на основе SMS также можно фишинговать через открытый исходный код и легкодоступные фишинговые инструменты, такие как Modlishka, CredSniper или Evilginx.
Кроме того, сотрудников телефонной сети можно обманом заставить перенести телефонные номера на SIM-карту злоумышленника — в атаках, известных как подмена SIM-карт, — что позволяет злоумышленникам получать одноразовые коды MFA от имени своих жертв.
Помимо этого, телефонные сети также подвержены изменяющимся правилам, простоям и проблемам с производительностью, которые влияют на доступность механизма MFA в целом, что, в свою очередь, не позволяет пользователям проходить аутентификацию в своей учетной записи. в моменты срочности.
SMS и голосовые вызовы сегодня являются наименее безопасными методами MFA
По словам Вайнерта, все это делает MFA на основе SMS и вызовов «наименее безопасными из доступных сегодня методов MFA».
Исполнительный директор Microsoft считает, что разрыв между SMS и голосовой MFA "будет только увеличиваться" в будущем.
По мере общего роста внедрения MFA, с увеличением количества пользователей, использующих MFA для своих учетных записей, злоумышленники также будут больше заинтересованы во взломе методов MFA, причем SMS и голосовая MFA, естественно, станут их основной целью из-за его широкого распространения.
Вайнерт говорит, что пользователям следует включить более надежный механизм MFA для своих учетных записей, если он доступен, рекомендуя приложение Microsoft Authenticator MFA в качестве хорошей отправной точки.
Но если пользователи хотят лучшего, им следует использовать аппаратные ключи безопасности, которые Вайнерт назвал лучшим решением MFA в своем сообщении в блоге, опубликованном в прошлом году.
PS: Это не должно означать, что пользователи должны отключать SMS или голосовую MFA для своих учетных записей. SMS MFA все еще лучше, чем отсутствие MFA.
