Техногигант рекомендует использовать современные технологии, такие как аутентификаторы на основе приложений и ключи безопасности.
https://www.securitylab.ru/upload/ib...3e2975a746.jpg
Компания Microsoft https://techcommunity.microsoft.com/...n/ba-p/1751752пользователей отказаться от решений многофакторной аутентификации (MFA) на основе телефона, таких как одноразовые коды, отправляемые с помощью SMS-сообщений и голосовых вызовов. Вместо этого техногигант рекомендует заменить их более современными технологиями, такими как аутентификаторы на основе приложений и ключи безопасности.
Предупреждение исходит от Алекса Вайнерта (Alex Weinert), директора по безопасности идентификационной информации в Microsoft. Ссылаясь на внутреннюю статистику Microsoft, в прошлом году Вайнерт сказал в своем блоге, что пользователи, включившие многофакторную аутентификацию (MFA), в конечном итоге заблокировали около 99,9% автоматических атак на свои учетные записи Microsoft.
Но недавнем сообщении Вайнерт призвал пользователей отказаться от MFA на основе телефона. Проблемы безопасности связаны не столько с самой технологией, сколько с состоянием телефонных сетей. По словам эксперта, SMS и голосовые вызовы передаются в открытом виде и могут быть легко перехвачены злоумышленниками с использованием таких методов и инструментов, как программно-определяемые радиостанции, ячейки FEMTO или службы перехвата SS7.
Одноразовые коды на основе SMS-сообщений также могут быть использованы в рамках фишинга с помощью таких доступных инструментов, как Modlishka, CredSniper или Evilginx.
Кроме того, сотрудники телефонной сети могут быть обмануты в ходе атак, известных как «подмена SIM-карты» (SIM-swappping), позволяющих злоумышленникам получать одноразовые коды MFA от имени своих жертв.
По словам Вайнерта, MFA на основе SMS и звонков является в настоящее время наименее безопасным из доступных методов защиты.