مدیر مایکروسافت: استفاده از احراز هویت چندعاملی مبتنیبر پیامک و تماس صوتی ایمن نیست
الکس وینرت، رئیس بخش امنیت هویت مایکروسافت، به کاربران دربارهی راهکارهای احراز هویت چندعاملی (MFA) مبتنیبر تلفنهمراه مانند تماسهای صوتی و پیامکهای حاوی رمزعبور یکبارمصرف هشدار داد و از آنها خواست روشهای ایمنتر مانند کلیدهای امنیتی و احراز هویت مبتنیبر اپلیکیشن را جایگزین کنند.
سال گذشته، وینرت کاربران را تشویق کرد احراز هویت چندعاملی را برای حسابهای آنلاینشان فعال کنند. او در پستی وبلاگ با استناد به آمارهای مایکروسافت گفت با فعالکردن احراز هویت چندعاملی، از ۹۹ درصد حملات خودکار به حسابهای مایکروسافت جلوگیری شده است.
حال، بهتازگی مدیر بخش امنیت هویت مایکروسافت بهدلیل بروز مسائل امنیتی در شبکههای تلفنی، استفاده از احراز هویت مبتنیبر تلفنهمراه را ناایمنترین روش احراز هویت میداند. بهگفتهی وینرت، تماسهای صوتی و پیامکی بهصورت متنشفاف (Cleartext) و رمزنگارینشده ارسال میشوند و هکرها با استفاده از روشها و ابزارهایی مانند رادیو نرمافزاری (SDR) و فمتوسلها و شبکههای SS7 میتوانند بهراحتی پیامهای دریافتی را رهگیری کنند.
مقالههای مرتبط:
امکان فیشینگ پیامکهای حاوی رمزعبور یکبارمصرف با ابزارهای فیشینگ و متنباز مانند Modlishka و CredSniper و Evilginx نیز وجود دارد. علاوهبراین در حملات تعویض سیمکارت (SIM swapping)، مجرمان با فریب اپراتورها در تعویض سیمکارت، سیمکارت فرد قربانی را بهدست میآورند و تمامی رمزعبور یکبارمصرف پیامکها و تماسهای صوتی را بهدست میآورند. همچنین، تغییرات رگولاتوری شبکههای تلفنی و خرابی و مشکلات در عملکرد همگی روی دسترسی به مکانیزم احراز هویت چندعاملی تأثیر میگذارند و در چنین وضعیتی، کاربر نمیتواند در مواقع ضروری احراز هویت انجام دهد.
بهگفتهی وینرت امروزه، پیامک و تماسهای صوتی کمترین امنیت را در روشهای احراز هویت چندعاملی دارند. او معتقد است در آینده، این شکاف امنیتی بیشتر خواهد شد. با گسترش پذیرش احراز هویت چندعاملی، کاربران بیشتری آن را برای حسابهایشان فعال میکنند؛ درنتیجه، هکرها بهدنبال راهی برای نفوذ به چنین راهکارهایی هستند و طبیعتا پیامک و تماسهای صوتی بهدلیل داشتن پذیرندههای بیشتر، اولین هدف آنها قرار میگیرد.
وینرت اپلیکیشن احراز هویت چندعاملی Authenticator مایکروسافت را بهعنوان روشی معرفی میکند؛ البته کلیدهای امنیتی سختافزاری امنیت بیشتری دارند و سال گذشته، مدیر بخش امنیت هویت مایکروسافت آن را در رتبهی اول بهترین راهکار احراز هویت چندعاملی قرار داد. البته هشدار اخیر مبنیبر توقف کلی استفاده از احراز هویت چندعاملی مبتنیبر پیامک و تماسهای صوتی نیست و در زمانی بهکار میآید که راهکار دیگری برای احراز هویت چندعاملی وجود ندارد.