Microsoft закликала відмовитися від багатофакторної аутентифікації по телефону

Компанія Microsoft закликала користувачів відмовитися від рішень багатофакторної аутентифікації (MFA) на основі телефону, таких як одноразові коди, що відправляються за допомогою SMS-повідомлень і голосових викликів. Замість цього компаныя рекомендує замінити їх більш сучасними технологіями, такими як аутентифікатор на основі додатків і ключі безпеки.

Попередження виходить від Алекса Вайнерта (Alex Weinert), директора з безпеки ідентифікаційної інформації в Microsoft. Посилаючись на внутрішню статистику Microsoft, в минулому році Вайнерт сказав в своєму блозі, що користувачі, котрі включили многофакторную аутентифікацію (MFA), в кінцевому підсумку заблокували близько 99,9% автоматичних атак на свої облікові записи Microsoft.

Але недавньому повідомленні Вайнерт закликав користувачів відмовитися від MFA на основі телефону. Проблеми безпеки пов’язані не стільки з самою технологією, скільки зі станом телефонних мереж. За словами експерта, SMS і голосові виклики передаються у відкритому вигляді і можуть бути легко перехоплені зловмисниками. Одноразові коди на основі SMS-повідомлень також можуть бути використані в рамках фішингу за допомогою таких доступних інструментів, як Modlishka, CredSniper або Evilginx.

Крім того, співробітники телефонної мережі можуть бути обмануті в ході атак, відомих як «підміна SIM-карти» (SIM-swappping), що дозволяють зловмисникам отримувати одноразові коди MFA від імені своїх жертв. За словами Вайнерта, MFA на основі SMS та дзвінків є в даний час найменш безпечним з доступних методів захисту.