Microsoft побуждает юзеров прекратить использовать двухфакторную аутентификацию на основе SMS и телефонных звонков. Вместо этого компания рекомендует переключиться на специальные приложения и ключи безопасности.
От имени Microsoft говорил директор подразделения безопасности личности Алекс Винерт. По его словам, пользователи, активировавшие двухфакторную аутентификацию, остановили около 99,9% атак против своих аккаунтов Microsoft.
Отказаться от телефонной двухфакторной аутентификации в пользу современных решений Винерт рекомендует потому, что первые обладают рядом известных уязвимостей. Они вытекают из особенностей работы телекоммуникационных сетей.
SMS и голосовые звонки передаются без шифрования и их можно относительно просто перехватить. Одноразовые SMS-коды также могут украсть с помощью готовых программных фишинговых инструментов, таких как Modlishka, CredSniper, Evilginx.
Сотрудники мобильных операторов могут стать жертвами обмана и предоставить злоумышленнику доступ к SIM-карте выбранного ими пользователя. Этот тип атак известен как SIM-свопинг. Детали читайте в статье»как могут украсть SIM-карту, которая всегда при вас».
Также мобильные сети жестко регулируются законодательством, которое постоянно меняется, и могут иметь перебои в работе. Все это влияет на доступность механизма двухфакторной аутентификации и затрудняет его использование в критические моменты.
Винерт рекомендует пользователям использовать для двухфакторной аутентификации приложение Microsoft Authenticator MFA. А для наивысшей защиты нужно поинтересоваться аппаратными ключами безопасности.