13.11.2020, 09:49
Количество просмотров 249

Microsoft не рекомендует использовать коды в SMS-сообщениях для MFA

Microsoft призывает пользователей отказаться от реализаций многофакторной аутентификации (MFA), в которых задействуются одноразовые коды, отправленные в SMS-сообщениях, или голосовые вызовы.
Microsoft не рекомендует использовать коды в SMS-сообщениях для MFA

Корпорация рекомендует использовать более современные средства для MFA: электронные ключи или аутентификаторы на основе приложений. Алекс Уайнерт, отвечающий в Microsoft за управление идентификацией и доступом отмечает, что, если у пользователя есть выбор, ему следует держаться подальше от MFA, основанной на SMS-сообщениях и звонках. Основная проблема заключается в передаче пользователю кода в виде простого текста. Взяв на вооружение современные инструменты (например, SS7-прослушку), злоумышленники могут перехватить второй фактор для аутентификации. Одноразовые пароли также можно выкрасть с помощью фишинговых наборов Modlishka, CredSniper и Evilginx. Кстати, исходный код этих инструментов доступен всем желающим.

Более того, сами сотрудники оператора сотовой связи могут стать жертвой киберпреступника. Та же атака «SIM swapping» поможет получить пароли для доступа к аккаунту жертвы. Помимо этого, у операторов связи могут возникнуть и не связанные с атаками проблемы: простои, сбои в работе оборудования, смена требований регуляторов. Всё это может негативно сказаться на работе многофакторной аутентификации.

По материалам anti-malware.ru

Рубрика:
{}Безопасность
PLUSworld в соцсетях:
telegram
vk
youtube

ТАКЖЕ ПО ТЕМЕ