Cookie настройки

  • Для достижения наилучшей функциональности сайта, мы допускаем временное хранение файлов "куки". Персональные данные и иная конфиденциальная информация нашим веб-ресурсом с Ваших ПК не снимается.

ruen
На главную

Microsoft призвала отказаться от многофакторной аутентификации по телефону

Компания Microsoft призвала пользователей отказаться от решений многофакторной аутентификации (MFA) на основе телефона, таких как одноразовые коды, отправляемые с помощью SMS-сообщений и голосовых вызовов. Вместо этого техногигант рекомендует заменить их более современными технологиями, такими как аутентификаторы на основе приложений и ключи безопасности.

Предупреждение исходит от Алекса Вайнерта (Alex Weinert), директора по безопасности идентификационной информации в Microsoft. Ссылаясь на внутреннюю статистику Microsoft, в прошлом году Вайнерт сказал в своем блоге, что пользователи, включившие многофакторную аутентификацию (MFA), в конечном итоге заблокировали около 99,9% автоматических атак на свои учетные записи Microsoft.

Но недавнем сообщении Вайнерт призвал пользователей отказаться от MFA на основе телефона. Проблемы безопасности связаны не столько с самой технологией, сколько с состоянием телефонных сетей. По словам эксперта, SMS и голосовые вызовы передаются в открытом виде и могут быть легко перехвачены злоумышленниками с использованием таких методов и инструментов, как программно-определяемые радиостанции, ячейки FEMTO или службы перехвата SS7.

Одноразовые коды на основе SMS-сообщений также могут быть использованы в рамках фишинга с помощью таких доступных инструментов, как Modlishka, CredSniper или Evilginx.

Кроме того, сотрудники телефонной сети могут быть обмануты в ходе атак, известных как «подмена SIM-карты» (SIM-swappping), позволяющих злоумышленникам получать одноразовые коды MFA от имени своих жертв.

По словам Вайнерта, MFA на основе SMS и звонков является в настоящее время наименее безопасным из доступных методов защиты.

Источник: https://www.securitylab.ru/news/514052.php