Dyrektor ds. Bezpieczeństwa tożsamości z Microsoft napisał ostatnio ostrzeżenie, które dotyczy rodzaju stosowanych zabezpieczeń MFA (ang. Multi-Factor Authentication). Firma z Redmond zachęca w nim do rezygnacji z rozwiązań dodatkowej autoryzacji opartych na telefonach komórkowych, takich jak jednorazowe kody wysyłane za pomocą SMS czy połączeń głosowych. Zamiast tego, wszyscy powinniśmy zastąpić je nowszymi i bezpieczniejszymi technologiami MFA, takimi jak powiadomienia PUSH, skanowanie kodów QR, czy klucze bezpieczeństwa, np. Yubikey. Przez ostatni rok, autor ogłoszenia Alex Weinert, występował w imieniu Microsoft, zachęcając użytkowników do przyjęcia i włączenia usługi MFA dla swoich kont online.

Powołując się na wewnętrzne statystyki Microsoftu, Weinert napisał na blogu, że użytkownicy, którzy włączyli uwierzytelnianie wieloskładnikowe (MFA), zablokowali około 99,9% automatycznych ataków na swoje konta.
Jednak w kolejnym wpisie mówi, że jeśli użytkownicy mogą wybierać między wieloma rozwiązaniami MFA, powinni trzymać się z daleka od najstarszych metod telefonicznych.

Przytacza kilka znanych problemów związanych z bezpieczeństwem MFA, które wykorzystywane są przez cyberprzestępców na całym Świecie, głównie do oszustw bankowych w których straty były liczone w gigantycznych sumach.
Mianowicie, zarówno SMS-y, jak i połączenia głosowe są przesyłane w postaci zwykłego tekstu i mogą być łatwo przechwycone przez zdeterminowanych napastników przy użyciu technik i narzędzi, takich jak radiotelefony programowalne, komórki FEMTO lub usługi przechwytywania SS7. Pisaliśmy nawet o podobnej, tylko bardziej zaawansowanej technice podsłuchiwania – tutaj.
Kody jednorazowe oparte na SMS-ach można również wyłudzić za pośrednictwem otwartych i łatwo dostępnych narzędzi phishingowych, takich jak Modlishka, CredSniper lub Evilginx. Co więcej, pracownicy sieci telefonicznej mogą zostać nakłonieni do przeniesienia numeru telefonu na kartę SIM osoby atakującej wyrabiając tak zwany duplikat karty – atak zwany „SIM Swapping” – umożliwiając atakującym otrzymywanie jednorazowych kodów MFA w imieniu swoich ofiar.

Ponadto, sieci telefoniczne są również narażone na zmieniające się przepisy, przestoje i problemy z wydajnością, z których wszystkie mają wpływ na ogólną dostępność mechanizmu MFA, co z kolei uniemożliwia użytkownikom uwierzytelnianie się na ich koncie w nagłych przypadkach.

Wszystko to sprawia, że SMS-y i usługi MFA oparte na połączeniach telefonicznych są najmniej bezpiecznymi spośród dostępnych obecnie metod. Dyrektorzy Microsoft są przekonani, że ta przepaść tylko powiększy się w przyszłości, aż metody „przestarzałe” zostaną całkowicie wyparte.
Wraz z ogólnym wzrostem liczby użytkowników korzystających z usługi MFA na swoich kontach, osoby atakujące staną się również bardziej zainteresowane łamaniem metod MFA, a ich głównym celem będą w naturalny sposób wiadomości SMS i wiadomości głosowe. Szczególnie dbający o bezpieczeństwo użytkownicy powinni włączyć silniejszy mechanizm MFA dla swoich kont, takie jak na przykład aplikacje generujące jednorazowe kody – Microsoft Authenticator lub Google Authenticator.
Co ciekawe, Microsoft we wszystkich swoich wpisach na blogu jest na razie zgody, że najbezpieczniejszą z metod MFA pozostają klucze sprzętowe oparte na U2.

Podziel się z innymi tym artykułem!