Microsoft предостерегает от использования двухфакторной аутентификации на основе SMS

Большинство современных пользователей, вероятно, знакомы с многофакторной аутентификацией. Многие сочтут это усиление безопасности абсолютно необходимым для защиты своих онлайн-аккаунтов. Однако некоторые формы многофакторной аутентификацией более безопасны, чем другие. И как раз-таки SMS и голосовые звонки обычно являются одними из наиболее уязвимых вариантов.

Алекс Вейнерт, партнерский директор по безопасности идентификационной информации в Microsoft, недавно изложил несколько аргументов в пользу отказа от SMS и голосовой аутентификации.

SMS и голосовая связь основывается на телефонных сетях общего пользования или на всех коммутируемых телефонных сетях по всему миру. Они уязвимы почти для всех распространенных эксплойтов, с которыми могут столкнуться другие аутентификаторы, но также имеют уникальные проблемы. По словам Вайнерта, «сигналы могут быть перехвачены любым, кто может получить доступ к коммутационной сети или в пределах радиуса действия устройства». Существует множество инструментов и сервисов, которые можно использовать для перехвата этих сигналов.

Еще одна проблема с SMS и голосовой аутентификацией –отсутствие адаптируемости. Мало что можно сделать, чтобы изменить содержание или длину таких сообщений. Поэтому Вайнерт утверждал, что «инновации в удобстве использования и безопасности очень ограничены».

Природа SMS и голосовой связи также ограничивает вид информации, которая может быть передана пользователям, поскольку сообщения ограничиваются 70-160 символами. Он отметил, что этот формат позволяет фишинговым сообщениям выглядеть так же законно, как и подлинные сообщения.

Провайдерам также сложно определить, сколько пользователей фактически получили и взаимодействовали с их SMS или голосовыми сообщениями. Некоторые операторы связи сообщают этим поставщикам об ошибке доставки сообщения, но это сообщение противоречиво. Поставщики аутентификаторов часто не могут обнаружить проблемы, пока не станет слишком поздно.

Наконец, есть несколько человеческих факторов, которые могут способствовать ненадежности SMS и голосовой свзи. Требования к SMS варьируются от региона к региону и постоянно меняются. Сотрудники службы поддержки и обслуживания клиентов также могут быть уязвимы для манипуляций злоумышленниками и могут непреднамеренно предоставить доступ к важной информации.

Статья Вайнера в основном является аргументом в пользу аутентификации на основе приложений, таких как приложение Microsoft Authenticator. Тем не менее, он представляет много законных проблем с аутентификацией SMS. Эта форма аутентификации удобна, но ужасно небезопасна. Захват нескольких учетных записей создателей контента был недавно осуществлен злоумышленниками, подделывавшими SMS-сообщения аутентификации, или с помощью социальной инженерии для доступа к учетной записи своего оператора связи. Некоторые утверждают, что любой вид аутентификации лучше, чем полное ее отсутствие.

Ни одна форма аутентификации не является идеальной, но мы надеемся, что ряд проблем, связанных с этим механизмом, побудит провайдеров служб аутентификации найти альтернативные, более безопасные, методы.

Комментарии

ОСТАВЬТЕ ОТВЕТ

Пожалуйста, введите ваш комментарий!
пожалуйста, введите ваше имя здесь

Статьи по теме

Для создания сайта i-complex сочетает качественный веб дизайн и технологии, которые выведут вас в лидеры

Комплексные кастомные онлайн решения: лендинги; сайты для бизнеса; онлайн-порталы с высокой степенью погрузки; интернет-магазины; социальные сети; информационные панели; веб-приложения; разработка и интеграция...

Эффективная и эффектная презентация

Подача продукта очень сильно влияет на то, как клиент его увидит, а значит и на то, захочет его купить или нет. Поэтому это важный...

В каком обменнике обменять криптовалюту Биткойн на рубли системы Яндекс.Деньги и как выполнить обмен по выгодной цене

Тот факт, что обмен криптовалюты Bitcoin на рубли ПС Яндекс.Деньги лучше всего проводить через электронные обменники, у большинства пользователей Сети не вызывает...

Последние записи

Для создания сайта i-complex сочетает качественный веб дизайн и технологии, которые выведут вас в лидеры

Комплексные кастомные онлайн решения: лендинги; сайты для бизнеса; онлайн-порталы с высокой степенью погрузки; интернет-магазины; социальные сети; информационные панели; веб-приложения; разработка и интеграция...

Эффективная и эффектная презентация

Подача продукта очень сильно влияет на то, как клиент его увидит, а значит и на то, захочет его купить или нет. Поэтому это важный...

В каком обменнике обменять криптовалюту Биткойн на рубли системы Яндекс.Деньги и как выполнить обмен по выгодной цене

Тот факт, что обмен криптовалюты Bitcoin на рубли ПС Яндекс.Деньги лучше всего проводить через электронные обменники, у большинства пользователей Сети не вызывает...

Что может лучшая портативная консоль 2018 года? Обзор GPD Win 2

Сегодня мы поговорим про лучшую портативную консоль 2018 года, а именно GPD Win 2. Если вы никогда не слышали...

Новая портативная консоль OneXplayer Mini Pro

Буквально на днях компания One-netbook представила очередную новенькую, монструозную портативную приставку, которая будет настоящим конкурентом для приставки Steam Deck от компании Valve....

Популярное

Как вас могут взломать в Steam? Могут ли украсть аккаунт Стим?

С каждым годом аудитория Steam увеличивается на десятки тысяч пользователей. Среди них большая часть обычных игроков, которые имеют на аккаунте десяток-другой игр, при этом...

Как поменять валюту в стиме на рубли

Не секрет, что ценники на игры в русском Steam намного ниже чем в Европе, США и т.д. 90% всех продуктов, а то и больше,...

Как получить Twitch Prime бесплатно в 2021 году?

Уже стало традицией награждать игроков в разных играх уникальными скинами, которые могут получить только подписчики на Twitch Prime. Однако, чтобы полностью легально...

Как перенести игру Steam на другой компьютер или диск

Информация из этой статьи может пригодится вам в разных случаях. Например вы купили SSD и хотите перенести на него одну игру, в которую вы чаще...

Realtek Audio Console не поддерживает этот компьютер (пропал звук)

Очень часто, после обновления Windows, у меня пропадал звук. Решалась проблема пару кликами в Realtek Audio Console. Однако сегодня, после очередного обновления,...