Võtmed kaasavõtmiseks
- Ekspertide sõnul võivad häkkerid varastada telefonipõhiseid mitmefaktorilise autentimise (MFA) koode.
- Telefonifirmasid on meelitatud telefoninumbreid üle kandma, et kurjategijad saaksid koodid kätte saada.
- Lihtne ja odav viis turvalisuse suurendamiseks on kasutada oma telefoni autentimisrakendust.
Häkkerite eest kaitsmiseks lõpetage SMS-i ja häälkõnede kaudu saadetavate telefonipõhiste mitmefaktorilise autentimise (MFA) koodide kasutamine, kirjutab kõrgeim turvaekspert uues analüüsis.
Telefonikoodid on häkkerite pe altkuulamise suhtes haavatavad, kirjutas Microsofti identiteediturbe direktor Alex Weinert hiljutises ajaveebipostituses. Vaatlejate sõnul on tekstipõhised koodid parem kui mitte midagi. Kuid kasutajad peaksid asendama telefonipõhise autentimise rakenduste ja turvavõtmetega.
"Need mehhanismid põhinevad üldkasutatavatel telefonivõrkudel (PSTN) ja usun, et need on tänapäeval saadaolevatest MFA-meetoditest kõige vähem turvalised," kirjutas ta.
"See lõhe suureneb ainult siis, kui MFA kasutuselevõtt suurendab ründajate huvi nende meetodite murdmise vastu ning eesmärgipäraselt loodud autentijad suurendavad nende turvalisuse ja kasutatavuse eeliseid. Planeerige oma üleminek paroolita tugevale autentimisele kohe – autentimisrakendus pakub kohest ja arenev valik."
MFA on turvameetod, mille puhul arvutikasutajale antakse juurdepääs veebisaidile või rakendusele alles pärast kahe või enama tõendi edukat esitamist autentimismehhanismile. Need koodid saadetakse sageli telefoni teel.
Häkkerid teesklevad, et oled sina
Vaatlejate sõnul võivad häkkerid telefonikoodidele juurde pääseda. Mõnel juhul on telefonifirmasid petetud telefoninumbreid edastama, et häkkerid saaksid koodid kätte saada.
"Telefonid on nii ebaturvalised, et kasutajatele suunatakse neile sageli petukõnesid kolmanda maailma riikidest, näidates samal ajal Ameerika piirkondlikke telefoninumbreid," ütles pilveteenuse pakkuja Syntaxi CISO Matthew Rogers meiliintervjuus. "Telefonid on samuti allutatud SIM-kaardi vahetamise rünnakutele, mis võivad tekstsõnumiga MFA-st hõlpsasti mööda minna."
Hiljuti langes populaarne BBC raadiosaatejuht Jeremy Vine rünnaku ohvriks, mille tagajärjel tungiti tema WhatsAppi kontole.
"Vine'i eduk alt petnud rünnak algab pe altnäha soovimatu SMS-i saamisega, mis sisaldab nende kontole kahefaktorilist autentimiskoodi," ütles privaatsusülevaate saidi ProPrivacy andmekaitseekspert Ray Walsh. emaili intervjuu.
Seejärel saab ohver kontaktilt otsesõnumi, mis väidab, et saatis talle koodi kogemata. Lõpuks palutakse ohvril häkkerile kood edastada, mis annab talle kohese juurdepääsu ohvri kontole
Probleemiks võib olla ka tarkvara. "Seadme haavatavuste tõttu võib MFA-d pe alt kuulata lekkiv rakendus või ohustatud seade, millest kasutaja teadlik ei ole," ütles LexisNexis Risk Solutionsi valitsusrühma lahenduste konsultant George Freeman meiliintervjuus.
Ära loovuta veel oma telefoni
Ekspertide sõnul on tekstipõhine MFA siiski parem kui mitte midagi. "MFA on üks võimsamaid tööriistu, mida kasutajal on oma kontode kaitsmiseks," ütles Mark Nunnikhoven, küberturvalisuse ettevõtte Trend Micro pilveuuringute asepresident.
"See peaks olema igal võimalusel lubatud. Kui teil on valik, kasutage oma nutitelefonis autentimisrakendust, kuid lõpuks veenduge, et MFA oleks mis tahes kujul lubatud."
Lihtne ja odav viis turvalisuse suurendamiseks on kasutada oma telefonis autentimisrakendust, ütles IT-ettevõtte Expert Computer Solutions kaasasutaja ja tegevjuht Peter Robert meiliintervjuus.
„Kui teil on eelarve ja peate turvalisust kriitiliseks, soovitaksin teil hinnata riistvarapõhiseid MFA-võtmeid,“lisas ta. „Turvalisuse pärast muretsevatele ettevõtetele ja üksikisikutele soovitaksin kasutada ka tumedat veebi. jälgimisteenus, mis annab teile teada, kas teie isiklik teave on pimedas veebis saadaval ja müügil."
Võimatu missiooni stiilis lähenemise jaoks kasutab Webauthniga uus standard FIDO2 biomeetrilist autentimist, ütleb Freeman. "Kasutaja loob ühenduse finantssaidiga, sisestab kasutajanime, veebisait võtab ühendust [kasutaja] mobiilseadmega, [telefoni] turvaline rakendus küsib seejärel kasutaj alt [tema] näo ID või sõrmejälje. Kui see õnnestub, siis see autentib. veebisessioonil," ütles ta.
Nii paljude võimalike ohtude tõttu võib olla aeg hakata otsima turvalisemaid viise isiklikku teavet salvestavatele veebisaitidele sisselogimiseks. Häkkerid võivad varitseda veebis just teie parooli pe altkuulamist.
