Microsoft призвала не использовать звонки и SMS для многофакторной аутентификации

Директор подразделения по безопасности идентификационных данных Microsoft Алекс Вайнерт призвал пользователей отказаться от методов многофакторной аутентификации по телефону, таких как одноразовые SMS-коды и голосовые звонки. Вместо этого он советует прибегнуть к приложениям для аутентификации и ключам безопасности, сообщает ZDNet.

2 комментария
Microsoft призвала не использовать звонки и SMS для многофакторной аутентификации

Директор подразделения по безопасности идентификационных данных Microsoft Алекс Вайнерт призвал пользователей отказаться от методов многофакторной аутентификации по телефону, таких как одноразовые SMS-коды и голосовые звонки. Вместо этого он советует прибегнуть к приложениям для аутентификации и ключам безопасности, сообщает ZDNet.

В прошлом году Вайнерт цитировал статистику компании, по которой многофакторная аутентификация (MFA) позволяет предотвратить 99,9% автоатак на пользовательские аккаунты Microsoft. Но в одном из свежих постов он пишет, что по возможности юзерам следует остановить свой выбор на MFA-технологиях, которые не задействуют сотовые сети. Это связано проблемами в их безопасности: телефонные сообщения и звонки могут быть легко перехвачены посредством программно определяемых радиосистем, фемтосот или инструментов для взлома протокола SS7 (ОКС-7), используемого для маршрутизации звонков и передачи SMS. Одноразовые коды можно украсть с помощью опенсорсных сервисов Modlishka, CredSniper и Evilginx.

Кроме того, злоумышленники могут завладеть кодами при помощи SIM-свопинга, обманом заставив сотрудников мобильного оператора перевыпустить SIM-карту жертвы от её имени. После активации новой SIM-карты с номером жертвы на собственном телефоне хакер получает доступ к любому сервису, к которому привязана проверка по номеру телефона.

Вайнерт называет звонки и сообщения самым небезопасным способом многофакторной аутентификации. По его мнению, в дальнейшем их надёжность будет только снижаться. Неплохой альтернативой будет приложение Microsoft Authenticator, но лучше всего пользоваться физическими ключами безопасности, говорит Вайнерт.

Хотите сообщить важную новость? Пишите в Телеграм-бот.

А также подписывайтесь на наш Телеграм-канал.

Горячие события

Gismart Online Meetup
9 декабря

Gismart Online Meetup

Минск

Читайте также

На продажу выставили базу с Microsoft-аккаунтами сотен топ-менеджеров
На продажу выставили базу с Microsoft-аккаунтами сотен топ-менеджеров
На продажу выставили базу с Microsoft-аккаунтами сотен топ-менеджеров
Windows 10 получит поддержку Android-приложений
Windows 10 получит поддержку Android-приложений
Windows 10 получит поддержку Android-приложений
Сколько платят работникам по визе H-1B Google, Apple и ещё 13 айтишных компаний
Сколько платят работникам по визе H-1B Google, Apple и ещё 13 айтишных компаний
Сколько платят работникам по визе H-1B Google, Apple и ещё 13 айтишных компаний
Илон Маск стал вторым в рейтинге миллиардеров, обошёл Билла Гейтса
Илон Маск стал вторым в рейтинге миллиардеров, обошёл Билла Гейтса
Илон Маск стал вторым в рейтинге миллиардеров, обошёл Билла Гейтса
2 комментария

Обсуждение

0

Вот сейчас сесурные мессенгеры обидятся и опять ничего не сделают для улучшения сесурности

chubaka
chubaka null в undefined
-1

Хорошая попытка, Microsoft, но нет

Спасибо! 

Получать рассылки dev.by про белорусское ИТ

Что-то пошло не так. Попробуйте позже