Os especialistas da Microsoft levantaram mais uma vez a questão da insegurança da autenticação multifator por telefone, aquilo é, por meio de códigos únicos em mensagens SMS ou chamadas de voz. Em vez de, a empresa está pedindo tecnologias mais novas, incluindo aplicativos autenticadores e chaves de segurança.
Desta vez, o aviso vem do chefe de segurança de identidade da empresa, Alex Weinert.
No entanto, Weinert agora explica que se um usuário puder escolher entre vários métodos de MFA, então em nenhum caso ele deve escolher um telefone.
O especialista afirma que a autenticação multifator através do telefone pode depender pelo menos do estado das redes telefônicas. Como as mensagens SMS e as chamadas de voz são transmitidas de forma clara, eles podem ser facilmente interceptados por invasores usando métodos e ferramentas como SDR (Rádio definido por software), FEMTO ou vários bugs SS7.
Além disso, códigos únicos de mensagens SMS podem ser extraídos usando ferramentas de phishing de código aberto e disponíveis, como Modlishka, CredSniper ou Evilginx. alternativamente, funcionários de operadoras móveis podem ser enganados por fraudadores para trocar o cartão SIM da vítima (tais ataques são geralmente chamados de troca de SIM), que permitirá que os invasores obtenham códigos MFA únicos em nome do alvo.
O especialista aconselha os usuários a usarem um mecanismo de autenticação multifator mais poderoso, se disponível, e recomenda o Aplicativo Microsoft Authenticator. E se os usuários querem apenas o melhor, eles geralmente deveriam usar chaves de hardware que Weinert chamado a melhor solução de MFA no ano passado.
Deixe-me lembrar que o ponto de vista expresso por Weinert não é nada novo. De volta 2016, o Instituto Nacional de Padrões e Tecnologia (NIST) apresentou um documento segundo o qual a utilização de mensagens SMS para autenticação de dois fatores não será incentivada no futuro. O documento afirma explicitamente que o uso de mensagens SMS para autenticação de dois fatores será considerado “inválido” e “inseguro”.
Deixe-me lembrá-lo disso Pesquisadores hackearam aplicativo TikTok via SMS, e eu também escrevi isso Os invasores podem ignorar a autenticação multifator do TikTok através do site.
