Microsoft спонукає юзерів припинити використовувати двофакторну аутентифікацію на основі SMS та телефонних дзвінків. Натомість компанія рекомендує перейти на спеціальні додатки та ключі безпеки.
Від імені Microsoft говорив директор підрозділу безпеки особистості Алекс Вінерт. За його словами, користувачі, які активували двофакторну аутентифікацію, зупинили близько 99,9% атак проти своїх акаунтів Microsoft.
Відмовитися від телефонної двофакторної аутентифікації на користь сучасних рішень Вінерт рекомендує тому, що перші мають низку відомих вразливостей. Вони випливають з особливостей роботи телекомунікаційних мереж.
SMS та голосові дзвінки передаються без шифрування і їх можна відносно просто перехопити. Одноразові SMS-коди також можуть вкрасти за допомогою готових програмних фішингових інструментів, таких як Modlishka, CredSniper, Evilginx.
Співробітники мобільних операторів можуть стати жертвами обману і надати зловмиснику доступ до SIM-картки обраного ними користувача. Цей тип атак відомий як SIM-свопінг. Деталі читайте у статті «Як можуть украсти SIM-карту, яка завжди при вас».
Також мобільні мережі жорстко регулюються законодавством, яке постійно змінюється, і можуть мати перебої в роботі. Все це впливає на доступність механізму двофакторної аутентифікації та ускладнює його використання в критичні моменти.
Вінерт рекомендує користувачам використовувати для двофакторної аутентифікації додаток Microsoft Authenticator MFA. А для найвищого захисту потрібно поцікавитися апаратними ключами безпеки.