Microsoft призвала отказаться от многофакторной аутентификации по телефону

Microsoft призвала отказаться от многофакторной аутентификации по телефону

Техногигант рекомендует использовать современные технологии, такие как аутентификаторы на основе приложений и ключи безопасности.

Компания Microsoft призвала пользователей отказаться от решений многофакторной аутентификации (MFA) на основе телефона, таких как одноразовые коды, отправляемые с помощью SMS-сообщений и голосовых вызовов. Вместо этого техногигант рекомендует заменить их более современными технологиями, такими как аутентификаторы на основе приложений и ключи безопасности.

Предупреждение исходит от Алекса Вайнерта (Alex Weinert), директора по безопасности идентификационной информации в Microsoft. Ссылаясь на внутреннюю статистику Microsoft, в прошлом году Вайнерт сказал в своем блоге, что пользователи, включившие многофакторную аутентификацию (MFA), в конечном итоге заблокировали около 99,9% автоматических атак на свои учетные записи Microsoft.

Но недавнем сообщении Вайнерт призвал пользователей отказаться от MFA на основе телефона. Проблемы безопасности связаны не столько с самой технологией, сколько с состоянием телефонных сетей. По словам эксперта, SMS и голосовые вызовы передаются в открытом виде и могут быть легко перехвачены злоумышленниками с использованием таких методов и инструментов, как программно-определяемые радиостанции, ячейки FEMTO или службы перехвата SS7.

Одноразовые коды на основе SMS-сообщений также могут быть использованы в рамках фишинга с помощью таких доступных инструментов, как Modlishka, CredSniper или Evilginx.

Кроме того, сотрудники телефонной сети могут быть обмануты в ходе атак, известных как «подмена SIM-карты» (SIM-swappping), позволяющих злоумышленникам получать одноразовые коды MFA от имени своих жертв.

По словам Вайнерта, MFA на основе SMS и звонков является в настоящее время наименее безопасным из доступных методов защиты.


Anonymous объявили войну Илону Маску, ФБР следило за преступниками по всему миру через собственный зашифрованный чат, Apple возместила моральный вред американской студентке за слив ее интимных фото в новом выпуске Security-новостей на нашем Youtube канале.