Mengapa Pengesahan Berasaskan Telefon Boleh Menjadi Tidak Selamat

Isi kandungan:

Mengapa Pengesahan Berasaskan Telefon Boleh Menjadi Tidak Selamat
Mengapa Pengesahan Berasaskan Telefon Boleh Menjadi Tidak Selamat
Anonim

Key Takeaway

  • Penggodam boleh mencuri kod pengesahan pelbagai faktor (MFA) berasaskan telefon, kata pakar.
  • Syarikat telefon telah ditipu untuk memindahkan nombor telefon untuk membolehkan penjenayah mendapatkan kod.
  • Cara mudah dan kos rendah untuk meningkatkan keselamatan ialah menggunakan apl pengesah pada telefon anda.
Image
Image

Untuk kekal selamat daripada penggodam, berhenti menggunakan kod pengesahan berbilang faktor (MFA) berasaskan telefon yang dihantar melalui SMS dan panggilan suara, pakar keselamatan terkemuka menulis dalam analisis baharu.

Kod telefon terdedah kepada pemintasan oleh penggodam, Alex Weinert, pengarah keselamatan identiti di Microsoft, menulis dalam catatan blog baru-baru ini. Kod berasaskan teks lebih baik daripada tiada, kata pemerhati. Tetapi pengguna harus menggantikan pengesahan berasaskan telefon dengan apl dan kunci keselamatan.

"Mekanisme ini berdasarkan rangkaian telefon bertukar awam (PSTN), dan saya percaya ia adalah kaedah MFA yang paling tidak selamat yang ada pada hari ini, " tulisnya.

"Jurang itu hanya akan melebar apabila penerimaan MFA meningkatkan minat penyerang untuk memecahkan kaedah ini dan pengesah yang dibina khas memperluaskan kelebihan keselamatan dan kebolehgunaan mereka. Rancang langkah anda ke pengesahan kukuh tanpa kata laluan sekarang-apl pengesah menyediakan segera dan pilihan yang berkembang."

MFA ialah kaedah keselamatan di mana pengguna komputer diberikan akses kepada tapak web atau aplikasi hanya selepas berjaya mengemukakan dua atau lebih bukti kepada mekanisme pengesahan. Kod ini selalunya dihantar melalui telefon.

Penggodam Berpura-pura Menjadi Anda

Ada cara penggodam boleh mendapatkan akses kepada kod telefon, bagaimanapun, kata pemerhati. Dalam sesetengah keadaan, syarikat telefon telah ditipu untuk memindahkan nombor telefon untuk membolehkan penggodam mendapatkan kod tersebut.

"Telefon sangat tidak selamat sehinggakan pengguna sering mendapat panggilan penipuan yang disalurkan kepada mereka dari negara dunia ketiga sambil menunjukkan nombor telefon serantau Amerika," kata Matthew Rogers, CISO penyedia awan Syntax, dalam temu bual e-mel. "Telefon juga tertakluk kepada serangan pertukaran SIM, yang boleh memintas MFA melalui mesej teks dengan mudah."

Baru-baru ini, pengacara radio BBC popular Jeremy Vine telah menjadi mangsa dengan serangan yang menyebabkan akaun WhatsAppnya ditembusi.

"Serangan yang berjaya menipu Vine bermula dengan penerimaan mesej SMS yang kelihatan tidak diminta yang mengandungi kod pengesahan dua faktor ke akaun mereka," Ray Walsh, pakar privasi data di tapak semakan privasi ProPrivacy, berkata dalam temu bual e-mel.

"Susulan itu, mangsa menerima mesej terus daripada kenalan yang mendakwa telah menghantar kod kepada mereka secara tidak sengaja. Akhirnya, mangsa diminta untuk memajukan penggodam kod tersebut, yang memberikan mereka akses segera ke akaun mangsa."

Perisian juga boleh menjadi masalah. "Disebabkan oleh kelemahan peranti, MFA berkemungkinan dicuri dengar oleh aplikasi bocor atau peranti terjejas yang tidak diketahui oleh pengguna," kata George Freeman, perunding penyelesaian di kumpulan kerajaan LexisNexis Risk Solutions, dalam temu bual e-mel.

Jangan Lepaskan Telefon Anda Lagi

Walau bagaimanapun, MFA berasaskan teks lebih baik daripada tiada, kata pakar. "MFA ialah salah satu alat paling berkuasa yang dimiliki pengguna untuk melindungi akaun mereka," kata Mark Nunnikhoven, naib presiden penyelidikan awan di syarikat keselamatan siber Trend Micro, dalam temu bual e-mel.

"Ia harus didayakan apabila boleh. Jika anda mempunyai pilihan, gunakan apl pengesahan pada telefon pintar anda-tetapi pada akhirnya, cuma pastikan MFA didayakan dalam sebarang bentuk."

Cara mudah dan kos rendah untuk meningkatkan keselamatan ialah menggunakan apl pengesah pada telefon anda, kata Peter Robert, pengasas bersama dan Ketua Pegawai Eksekutif syarikat IT Expert Computer Solutions, dalam temu bual e-mel.

“Jika anda mempunyai belanjawan dan menganggap keselamatan penting, saya akan menggalakkan anda menilai kunci MFA berasaskan perkakasan," tambahnya. "Untuk perniagaan dan individu yang mengambil berat tentang keselamatan, saya juga akan mengesyorkan web gelap perkhidmatan pemantauan untuk memberitahu anda jika maklumat peribadi tentang anda tersedia dan untuk dijual di web gelap."

Image
Image

Untuk pendekatan gaya Mission Impossible yang lebih, FIDO2 standard baharu dengan Webauthn menggunakan pengesahan biometrik, kata Freeman. "Pengguna menyambung ke tapak kewangan, memasukkan nama pengguna, tapak web menghubungi peranti mudah alih pengguna, aplikasi selamat pada telefon kemudian menggesa pengguna untuk ID muka atau cap jari [mereka]. Apabila berjaya, ia kemudian mengesahkan sesi web," katanya.

Dengan begitu banyak kemungkinan ancaman, mungkin sudah tiba masanya untuk mula mencari cara yang lebih selamat untuk log masuk ke tapak web yang menyimpan maklumat peribadi. Penggodam mungkin bersembunyi di web hanya menunggu untuk memintas kata laluan anda.

Disyorkan:

Mengapa Anda Boleh (atau Tidak Boleh) Melihat Gambar dalam Gambar YouTube Tidak Lama Lagi

Mengapa Anda Boleh (atau Tidak Boleh) Melihat Gambar dalam Gambar YouTube Tidak Lama Lagi

YouTube terus menjanjikan gambar dalam gambar untuk iPhone, dan memandangkan ia adalah ciri terbina dalam, seseorang akan fikir ia mudah, tetapi terdapat lebih banyak cerita daripada sekadar keupayaan

Mengapa AR Boleh Menjadi Lebih Popular Daripada Telefon Pintar

Mengapa AR Boleh Menjadi Lebih Popular Daripada Telefon Pintar

Realiti tambahan semakin popular dan sesetengah pakar berpendapat ia adalah perkara besar seterusnya dalam teknologi kerana keupayaannya untuk mengubah cara kita melakukan segala-galanya menjadi lebih baik

Bagaimana Permainan Video Berasaskan Kecergasan Boleh Menjadi Arus Perdana

Bagaimana Permainan Video Berasaskan Kecergasan Boleh Menjadi Arus Perdana

Masa depan kecergasan mungkin sememangnya permainan, tetapi kami mempunyai cara untuk pergi, kata pakar

Mengapa Pemacu Keras Anda Tidak Lama Lagi Boleh Menjadi Lebih Besar

Mengapa Pemacu Keras Anda Tidak Lama Lagi Boleh Menjadi Lebih Besar

Teknologi pemacu cakera keras semakin maju dengan salutan graphene dan juga pemacu keras DNA yang menyimpan data seperti bahan biologi, bermakna cakera keras tidak lama lagi akan menjadi lebih besar daripada yang kita bayangkan

Mengapa Twitter Berasaskan Langganan Tidak Akan Berfungsi

Mengapa Twitter Berasaskan Langganan Tidak Akan Berfungsi

Pada panggilan pendapatan baru-baru ini, Twitter mengumumkan hasrat untuk meneroka model berasaskan langganan, tetapi tiada siapa yang pasti apa maksudnya dan pakar berpendapat ia pasti akan gagal