Skip to content

Miksi puhelinpohjainen todennus voi olla epävarma

20 de kesäkuu de 2021

Tärkeimmät takeaways

  • Hakkerit voivat varastaa puhelinpohjaisia ​​monitekijätodennus (MFA) -koodeja, asiantuntijat sanovat.
  • Puhelinyrityksiä on huijattu siirtämään puhelinnumeroita, jotta rikolliset saisivat koodit.
  • Yksinkertainen, edullinen tapa lisätä tietoturvaa on käyttää puhelimesi todennussovellusta.
Pysyessä turvassa hakkereilta, lopeta puhelimitse lähetettävien MFA-koodien käyttö tekstiviestien ja äänipuheluiden kautta, huippu turvallisuusasiantuntija kirjoittaa uudessa analyysissä. Puhelinkoodit ovat alttiita hakkereiden sieppauksille, kirjoitti Microsoftin henkilöllisyysturvan johtaja Alex Weinert äskettäisessä blogikirjoituksessa. Tekstipohjaiset koodit ovat parempia kuin ei mitään, tarkkailijat sanovat. Mutta käyttäjien tulisi korvata puhelinpohjainen todennus sovelluksilla ja suojausavaimilla. ”Nämä mekanismit perustuvat julkisesti kytkettyihin puhelinverkoihin (PSTN), ja uskon, että ne ovat vähiten turvallisia nykyisistä MFA-menetelmistä”, hän kirjoitti. ”Tämä aukko vain kasvaa, kun MFA: n käyttöönotto lisää hyökkääjien kiinnostusta näiden menetelmien rikkomiseen ja tarkoituksenmukaiset todennustoiminnot lisäävät heidän turvallisuus- ja käytettävyysetujaan. Suunnittele siirtyminen salasanattomaan vahvaan todennukseen nyt – todennussovellus tarjoaa välittömän ja kehittyvän vaihtoehdon.” MFA on suojausmenetelmä, jossa tietokoneen käyttäjälle myönnetään pääsy verkkosivustolle tai sovellukseen vasta sen jälkeen, kun se on esittänyt onnistuneesti kaksi tai useampia todisteita todennusmekanismille. Nämä koodit lähetetään usein puhelimitse.

Hakkerit teeskentelevät olevansa sinä

Hakijat voivat kuitenkin saada puhelinkoodeja tietyillä tavoilla, tarkkailijat sanovat. Joissakin tapauksissa puhelinyhtiöitä on huijata siirtämään puhelinnumeroita, jotta hakkerit saisivat koodit. ”Puhelimet ovat niin epävarmoja, että käyttäjät saavat usein huijauspuheluja heille kolmannen maailman maista samalla, kun he näyttävät amerikkalaisia ​​alueellisia puhelinnumeroita”, Matthew Rogers, pilvipalvelujen tarjoajan Syntaxin CISO, sanoi sähköpostihaastattelussa. ”Puhelimiin kohdistuu myös SIM-vaihto-hyökkäyksiä, jotka voivat helposti ohittaa MFA: n tekstiviestillä.” Äskettäin suosittu BBC-radion isäntä Jeremy Vine joutui hyökkäyksen kohteeksi, joka johti hänen WhatsApp-tilinsä tunkeutumiseen.

”Vinen onnistuneesti huijaava hyökkäys alkaa vastaanottamalla näennäisesti ei-toivotut tekstiviestit, jotka sisältävät kahden tekijän todennuskoodin heidän tililleen”, kertoi Ray Walsh, tietosuoja-asiantuntija ProPrivacy-tietosuojasivustolta, sähköpostihaastattelussa. ”Tämän jälkeen uhri saa suoran viestin kontaktilta, joka väittää lähettäneensä koodin vahingossa. Lopuksi uhria pyydetään välittämään hakkeri koodi, mikä antaa heille välittömän pääsyn uhrin tilille.” Ohjelmisto voi myös olla ongelma. ”Laitteiden haavoittuvuuksien takia MFA voi mahdollisesti olla salakuuntelussa vuotavasta sovelluksesta tai vaurioituneesta laitteesta, josta käyttäjä ei ole tietoinen”, LexisNexis Risk Solutionsin hallitusryhmän ratkaisukonsultti George Freeman sanoi sähköpostihaastattelussa.

Älä silti luovuta puhelintasi

Teksti-pohjainen MFA on kuitenkin parempi kuin ei mitään, asiantuntijat sanovat. ”MFA on yksi tehokkaimmista työkaluista, joita käyttäjän on suojattava tilinsä”, sanoi kyberturvallisuusyrityksen Trend Micron pilvitutkimuksen johtaja Mark Nunnikhoven sähköpostihaastattelussa. ”Sen pitäisi olla käytössä aina kun mahdollista. Jos sinulla on valinnanvaraa, käytä älypuhelimesi todennussovellusta – mutta lopulta varmista, että MFA on käytössä missä tahansa muodossa.” Yksinkertainen, edullinen tapa lisätä turvallisuutta on käyttää puhelimesi todennussovellusta, kertoi IT-yrityksen Expert Computer Solutionsin perustaja ja toimitusjohtaja Peter Robert sähköpostihaastattelussa. ”Jos sinulla on budjetti ja pidät tietoturvaa kriittisenä, suosittelen sinua arvioimaan laitteistopohjaisia ​​MFA-avaimia”, hän lisäsi. ”Suosittelen myös yrityksille ja yksityishenkilöille, jotka ovat huolissaan tietoturvasta, pimeää web-seurantapalvelua tietää, onko henkilökohtaisia ​​tietoja sinusta saatavilla ja myytävänä pimeässä verkossa. ”

Lähikuva sormesta sormenjälkitunnistimessa.

Enemmän Mahdoton tehtävä-tyyppinen lähestymistapa, uusi standardi FIDO2 Webauthnin kanssa käyttää biometristä todennusta, Freeman sanoo. ”Käyttäjä muodostaa yhteyden taloussivustoon, syöttää käyttäjänimen, verkkosivuston yhteystiedot [the] käyttäjän mobiililaite, suojattu sovellus päällä [the] puhelin pyytää käyttäjää sitten [their] kasvotunnus tai sormenjälki. Kun se onnistuu, se todentaa web-istunnon ”, hän sanoi. Koska on niin monia mahdollisia uhkia, saattaa olla aika alkaa etsiä turvallisempia tapoja kirjautua sisään verkkosivustoille, jotka tallentavat henkilökohtaisia ​​tietoja. Hakkerit saattavat piileskellä verkossa vain odottamassa siepata salasanasi.