Microsoft od lat forsuje nowe standardy bezpieczeństwa. Ostatnio firma zwiększyła swoje wysiłki w celu pozbycia się standardowych haseł. Teraz natomiast dyrektor ds. bezpieczeństwa tożsamości Alex Weinert wzywa społeczeństwo do trzymania się z dala od tradycyjnych, opartych na SMS-ach dwuczynnikowych metod uwierzytelniania. Dla wielu osób może brzmieć to dość absurdalnie. W końcu to właśnie dwuskładnikowe uwierzytelnianie przez SMS dla wielu osób od dawna jest kwintesencją bezpieczeństwa. Jednak słowem kluczem jest tu właśnie od wielu lat.
Microsoft walczy z weryfikacją SMS
Warto jednak podkreślić, że dwuskładnikowe metody uwierzytelniania, nawet oparte na SMS-ach, są dużo bezpieczniejsze niż pojedyncze hasła. Zwłaszcza jeśli te są proste i wykorzystywane na wielu stronach internetowych lub w wielu usługach. Jednakże, spośród wielu opcji dostępnych obecnie dla użytkowników, uwierzytelnianie telefoniczne jest, według Weinerta, najmniej bezpieczne. Twierdzi on, że wiele z taktyk stosowanych przez hakerów w celu kradzieży haseł potrafi obejść te metody. Są to głównie kradzież urządzenia i socjotechniki. Podkreśla przy tym, że uwierzytelniania przez SMS nie można dostosować do nowych strategii hackerskich. Poziom tego zabezpieczenia jest niezmienny, a przestępcy wciąż się rozwijają.
Zobacz też: Aktualizacja OnePlusa 5 i OnePlusa 5T oddaje świetną funkcję, którą dawno temu zabrano
Oczywiście kradzież urządzenia brzmi jako marny argument. Przestępca bowiem musi mieć z nami fizyczny kontakt. Socjotechniki to natomiast metoda, która atakuje bezpośrednio człowieka. Raczej nie ma zabezpieczeń, które przed nimi chronią. Przekonujący jest jednak jego ostatni argument, który zachowałem na koniec. Otóż twierdzi on, że wiadomości SMS nie są zbyt dobrze zabezpieczane i mogą zostać przejęte poprzez wyłudzenie kopii naszej karty SIM od operatora. To natomiast umożliwi kradzież danych.
Niestety, agenci obsługi klienta są podatni na urok, przymus, przekupstwo lub wymuszenia. Jeśli te wysiłki socjotechniczne zakończą się sukcesem, wsparcie klienta może zapewnić dostęp do kanału SMS lub głosowego.
— Stwierdził specjalista Microsoftu.
Dodał przy tym, że rozwiązania oparte na aplikacjach, takie jak Authy, a nawet sprzętowe metody MFA, takie jak klucze bezpieczeństwa, są odporne na inżynierię społeczną stosowaną na innych. Wciąż jednak celem możemy być my sami.
Źródło: TechSpot