Журнал ПЛАС » Новости » Безопасность » 37 просмотров

Microsoft не рекомендует использовать коды в SMS-сообщениях для MFA

Microsoft не рекомендует использовать коды в SMS-сообщениях для MFA

Microsoft призывает пользователей отказаться от реализаций многофакторной аутентификации (MFA), в которых задействуются одноразовые коды, отправленные в SMS-сообщениях, или голосовые вызовы.

Корпорация рекомендует использовать более современные средства для MFA: электронные ключи или аутентификаторы на основе приложений. Алекс Уайнерт, отвечающий в Microsoft за управление идентификацией и доступом отмечает, что, если у пользователя есть выбор, ему следует держаться подальше от MFA, основанной на SMS-сообщениях и звонках. Основная проблема заключается в передаче пользователю кода в виде простого текста. Взяв на вооружение современные инструменты (например, SS7-прослушку), злоумышленники могут перехватить второй фактор для аутентификации. Одноразовые пароли также можно выкрасть с помощью фишинговых наборов Modlishka, CredSniper и Evilginx. Кстати, исходный код этих инструментов доступен всем желающим.

Более того, сами сотрудники оператора сотовой связи могут стать жертвой киберпреступника. Та же атака «SIM swapping» поможет получить пароли для доступа к аккаунту жертвы. Помимо этого, у операторов связи могут возникнуть и не связанные с атаками проблемы: простои, сбои в работе оборудования, смена требований регуляторов. Всё это может негативно сказаться на работе многофакторной аутентификации.

По материалам anti-malware.ru

Подписывайтесь на наши группы, чтобы быть в курсе событий отрасли.

Перейти к началу страницы

Подпишитесь на новости индустрии

Нажимая на кнопку "подписаться", вы соглашаетесь с


политикой обработки персональных данных