Menu dostępności

Microsoft ostrzega użytkowników przed stosowaniem niektórych MFA

Dyrektor ds. Bezpieczeństwa tożsamości z Microsoft napisał ostatnio ostrzeżenie, które dotyczy rodzaju stosowanych zabezpieczeń MFA (ang. Multi-Factor Authentication). Firma z Redmond zachęca w nim do rezygnacji z rozwiązań dodatkowej autoryzacji opartych na telefonach komórkowych, takich jak jednorazowe kody wysyłane za pomocą SMS czy połączeń głosowych. Zamiast tego, wszyscy powinniśmy zastąpić je nowszymi i bezpieczniejszymi technologiami MFA, takimi jak powiadomienia PUSH, skanowanie kodów QR, czy klucze bezpieczeństwa, np. Yubikey. Przez ostatni rok, autor ogłoszenia Alex Weinert, występował w imieniu Microsoft, zachęcając użytkowników do przyjęcia i włączenia usługi MFA dla swoich kont online.

Powołując się na wewnętrzne statystyki Microsoftu, Weinert napisał na blogu, że użytkownicy, którzy włączyli uwierzytelnianie wieloskładnikowe (MFA), zablokowali około 99,9% automatycznych ataków na swoje konta.
Jednak w kolejnym wpisie mówi, że jeśli użytkownicy mogą wybierać między wieloma rozwiązaniami MFA, powinni trzymać się z daleka od najstarszych metod telefonicznych.

Przytacza kilka znanych problemów związanych z bezpieczeństwem MFA, które wykorzystywane są przez cyberprzestępców na całym Świecie, głównie do oszustw bankowych w których straty były liczone w gigantycznych sumach.
Mianowicie, zarówno SMS-y, jak i połączenia głosowe są przesyłane w postaci zwykłego tekstu i mogą być łatwo przechwycone przez zdeterminowanych napastników przy użyciu technik i narzędzi, takich jak radiotelefony programowalne, komórki FEMTO lub usługi przechwytywania SS7. Pisaliśmy nawet o podobnej, tylko bardziej zaawansowanej technice podsłuchiwania – tutaj.
Kody jednorazowe oparte na SMS-ach można również wyłudzić za pośrednictwem otwartych i łatwo dostępnych narzędzi phishingowych, takich jak Modlishka, CredSniper lub Evilginx. Co więcej, pracownicy sieci telefonicznej mogą zostać nakłonieni do przeniesienia numeru telefonu na kartę SIM osoby atakującej wyrabiając tak zwany duplikat karty – atak zwany „SIM Swapping” – umożliwiając atakującym otrzymywanie jednorazowych kodów MFA w imieniu swoich ofiar.

Ponadto, sieci telefoniczne są również narażone na zmieniające się przepisy, przestoje i problemy z wydajnością, z których wszystkie mają wpływ na ogólną dostępność mechanizmu MFA, co z kolei uniemożliwia użytkownikom uwierzytelnianie się na ich koncie w nagłych przypadkach.

Wszystko to sprawia, że SMS-y i usługi MFA oparte na połączeniach telefonicznych są najmniej bezpiecznymi spośród dostępnych obecnie metod. Dyrektorzy Microsoft są przekonani, że ta przepaść tylko powiększy się w przyszłości, aż metody „przestarzałe” zostaną całkowicie wyparte.
Wraz z ogólnym wzrostem liczby użytkowników korzystających z usługi MFA na swoich kontach, osoby atakujące staną się również bardziej zainteresowane łamaniem metod MFA, a ich głównym celem będą w naturalny sposób wiadomości SMS i wiadomości głosowe. Szczególnie dbający o bezpieczeństwo użytkownicy powinni włączyć silniejszy mechanizm MFA dla swoich kont, takie jak na przykład aplikacje generujące jednorazowe kody – Microsoft Authenticator lub Google Authenticator.
Co ciekawe, Microsoft we wszystkich swoich wpisach na blogu jest na razie zgody, że najbezpieczniejszą z metod MFA pozostają klucze sprzętowe oparte na U2.

Popularne

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

16 czerwca, czyli zaledwie pięć dni po rozpoczęciu Mistrzostw Świata 2026, badaczka cyberbezpieczeństwa działająca pod pseudonimem „BobDaHacker” opisała na swoim blogu lukę odkrytą w systemach FIFA. Według...
External MFA w Microsoft Entra ID – koniec Custom Controls

External MFA w Microsoft Entra ID – koniec Custom Controls

MFA, czyli uwierzytelnianie wieloskładnikowe, opiera się na prostej zasadzie: samo hasło nie wystarcza. Po wpisaniu loginu i hasła użytkownik musi jeszcze potwierdzić swoją tożsamość drugim składniki...
Ośmioletnia luka w Samsung KNOX. Miliony urządzeń Galaxy były narażone na ataki!

Ośmioletnia luka w Samsung KNOX. Miliony urządzeń Galaxy były narażone na ataki!

Badacze odkryli ośmioletnią lukę bezpieczeństwa, dotyczącą niemal wszystkich urządzeń Samsung od Galaxy S9 do S25. Została sklasyfikowana jako podatność o wysokim stopniu zagrożenia – CVSS 7.8. Luka...
Krytyczna luka w Oracle E-Business Suite już wykorzystywana przez cyberprzestępców. Zagrożone systemy finansowe przedsiębiorstw!

Krytyczna luka w Oracle E-Business Suite już wykorzystywana przez cyberprzestępców. Zagrożone systemy finansowe przedsiębiorstw!

Administratorzy korzystający z Oracle E-Business Suite powinni jak najszybciej zweryfikować stan swoich systemów. Eksperci ds. cyberbezpieczeństwa potwierdzili bowiem aktywne wykorzystywanie krytycznej pod...
USBLITER8. Niezałatana podatność, która podważa zaufanie do USB

USBLITER8. Niezałatana podatność, która podważa zaufanie do USB

Przez lata wydawało się, że bezpieczeństwo urządzeń USB jest tematem dobrze zrozumianym. Owszem, pojawiały się ataki wykorzystujące firmware, fałszywe klawiatury czy modyfikowane pendrive'y, ale więks...