seostock
14.11.2020, 19:26
Компания Microsoft призвала (https://techcommunity.microsoft.com/t5/azure-active-directory-identity/it-s-time-to-hang-up-on-phone-transports-for-authentication/ba-p/1751752) пользователей отказаться от решений многофакторной аутентификации (MFA) на основе телефона, таких как одноразовые коды, отправляемые с помощью SMS-сообщений и голосовых вызовов. Вместо этого техногигант рекомендует заменить их более современными технологиями, такими как аутентификаторы на основе приложений и ключи безопасности.
Предупреждение исходит от Алекса Вайнерта (Alex Weinert), директора по безопасности идентификационной информации в Microsoft. Ссылаясь на внутреннюю статистику Microsoft, в прошлом году Вайнерт сказал в своем блоге, что пользователи, включившие многофакторную аутентификацию (MFA), в конечном итоге заблокировали около 99,9% автоматических атак на свои учетные записи Microsoft.
Но недавнем сообщении Вайнерт призвал пользователей отказаться от MFA на основе телефона. Проблемы безопасности связаны не столько с самой технологией, сколько с состоянием телефонных сетей. По словам эксперта, SMS и голосовые вызовы передаются в открытом виде и могут быть легко перехвачены злоумышленниками с использованием таких методов и инструментов, как программно-определяемые радиостанции, ячейки FEMTO или службы перехвата SS7.
Одноразовые коды на основе SMS-сообщений также могут быть использованы в рамках фишинга с помощью таких доступных инструментов, как Modlishka, CredSniper или Evilginx.
Кроме того, сотрудники телефонной сети могут быть обмануты в ходе атак, известных как «подмена SIM-карты» (SIM-swappping), позволяющих злоумышленникам получать одноразовые коды MFA от имени своих жертв.
По словам Вайнерта, MFA на основе SMS и звонков является в настоящее время наименее безопасным из доступных методов защиты.
https://www.securitylab.ru/news/514052.php (https://www.securitylab.ru/news/514052.php?ref=123)
Предупреждение исходит от Алекса Вайнерта (Alex Weinert), директора по безопасности идентификационной информации в Microsoft. Ссылаясь на внутреннюю статистику Microsoft, в прошлом году Вайнерт сказал в своем блоге, что пользователи, включившие многофакторную аутентификацию (MFA), в конечном итоге заблокировали около 99,9% автоматических атак на свои учетные записи Microsoft.
Но недавнем сообщении Вайнерт призвал пользователей отказаться от MFA на основе телефона. Проблемы безопасности связаны не столько с самой технологией, сколько с состоянием телефонных сетей. По словам эксперта, SMS и голосовые вызовы передаются в открытом виде и могут быть легко перехвачены злоумышленниками с использованием таких методов и инструментов, как программно-определяемые радиостанции, ячейки FEMTO или службы перехвата SS7.
Одноразовые коды на основе SMS-сообщений также могут быть использованы в рамках фишинга с помощью таких доступных инструментов, как Modlishka, CredSniper или Evilginx.
Кроме того, сотрудники телефонной сети могут быть обмануты в ходе атак, известных как «подмена SIM-карты» (SIM-swappping), позволяющих злоумышленникам получать одноразовые коды MFA от имени своих жертв.
По словам Вайнерта, MFA на основе SMS и звонков является в настоящее время наименее безопасным из доступных методов защиты.
https://www.securitylab.ru/news/514052.php (https://www.securitylab.ru/news/514052.php?ref=123)