Nasza strona używa cookies. Korzystając ze strony, wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki. Rozumiem

Unikaj 2FA przy pomocy telefonu, mówi Microsoft

Ekspert do spraw bezpieczeństwa z Microsoftu przedstawia zagrożenia związane z uwierzytelnianiem wielopoziomowym przez SMS-y i wiadomości głosowe, proponując jednocześnie kilka alternatyw.
Unikaj 2FA przy pomocy telefonu, mówi Microsoft

Microsoft stara się namówić użytkowników do porzucenia metody uwierzytelniania wielopoziomowego (ang. multi-factor authentication) przy pomocy SMS-ów lub wiadomości głosowych otrzymywanych na telefon. Firma z Redmond poleca tym samym nowsze i według nich lepsze i bezpieczniejsze sposoby autentykacji, takie jak konkretne narzędzia oparte na aplikacjach, czy fizyczne klucze zabezpieczeń. 


Microsoft radzi

Ostrzeżenie pochodzi od Alexa Weinerta, czyli dyrektora ds. Identity Security w Microsofcie, który poruszał ten temat w imieniu swojej firmy przez ostatni rok. Zachęcał on użytkowników do umożliwienia uwierzytelnienia wielopoziomowego dla swoich kont online, cytując tym samym trochę statystyk — na przykład, że multi-factor authentication pomogło w zablokowaniu nawet 99,9% automatycznych ataków wymierzonych w konta użytkowników Microsoftu.

Zaznaczył on jednak, że jeżeli korzysta się z uwierzytelnienia wielopoziomowego, to należy unikać metod autentykacji opartych na wiadomościach otrzymywanych na telefon. Weinert nie atakuje tutaj jednak samego multi-factor authentication, a raczej zwraca uwagę na pewne problemy, które wynikają z wad sieci komórkowych.


Uwierzytelnianie przez telefon jest najmniej bezpieczne

Dyrektor ds. Identity Security wskazuje przede wszystkim na to, że SMS-y i wiadomości głosowe są dostarczane do użytkowników jako tekst jawny, tj. nie są w żaden sposób szyfrowane. Przechwycenie ich przez potencjalnego atakującego nie byłoby zatem dużym problemem. Techniki, jakie można tutaj wykorzystać do ataku, to np. radio programowalne, femtokomórki, czy SS7 intercept services.

Jednorazowe kody wysyłane w wiadomościach SMS są również podatne na phishing przez gotowe narzędzia z kodem open-source, takie jak Modlishka, CredSniper, czy Evilginx. Co więcej, pracownicy firm telekomunikacyjnych mogą omyłkowo przesłać telefony komórkowe do hakera w wyniku metody o nazwie SIM-Swapping. Sprawia ona, że to atakujący dostaje wiadomość z kodem, a nie właściwy użytkownik.

Warto tutaj jeszcze wspomnieć o tym, że sieci komórkowe często zmieniają zasady funkcjonowania oraz mają rozmaite problemy z wydajnością i ogólnym działaniem. Sprawia to, że mechanizmy uwierzytelniania wielopoziomowego mogą nie zawsze być dostępne, więc wzrasta prawdopodobieństwo, że nie będą działały w sytuacjach kryzysowych.


Jakie mamy alternatywy?

Powyższe problemy sprawiają, że autentykacja przy pomocy SMS-ów i wiadomości głosowych jest najmniej bezpieczną metodą uwierzytelniania wielopoziomowego — twierdzi Weinert. Mówi on, że użytkownicy powinni używać bardziej solidnych rzeczy i od siebie poleca aplikację uwierzytelniającą stworzoną przez swoją firmę — Microsoft Authenticator (pewnie nikt się tego nie spodziewał :P). 

Jeżeli użytkownicy chcą korzystać z naprawdę bezpiecznych metod uwierzytelniania wielopoziomowego, to powinni zwrócić się w stronę fizycznych kluczy bezpieczeństwa, które dodają dodatkową warstwę zabezpieczeń dla danego konta online, chroniąc je przed botami, czy atakami kryptograficznymi. Weinert z resztą stwierdził kiedyś, że jest to najlepsza i najbezpieczniejsza metoda uwierzytelniania wielopoziomowego. 

Niemniej jednak powyższy wywód nie oznacza, żeby od razu rezygnować z multi-factor authentication przy pomocy telefonu. W końcu lepsze to niż nic, a używanie czegokolwiek poza hasłem do ochrony własnego konta jest zdecydowanie dobrą praktyką.

Rozpocznij dyskusję

Lubisz dzielić się wiedzą i chcesz zostać autorem?

Podziel się wiedzą z 160 tysiącami naszych czytelników

Dowiedz się więcej