مدير مايكروسافت: استفاده از احراز هويت چندعاملي مبتنيبر پيامك و تماس صوتي ايمن نيست
الكس وينرت، رئيس بخش امنيت هويت مايكروسافت، به متخصصان دربارهي راهكارهاي احراز هويت چندعاملي (MFA) مبتنيبر تلفنهمراه مانند تماسهاي صوتي و پيامكهاي حاوي رمزعبور يكبارمصرف هشدار داد و از آنها خواست روشهاي ايمنتر مانند كليدهاي امنيتي و احراز هويت مبتنيبر اپليكيشن را جايگزين كنند.
سال گذشته، وينرت متخصصان را تشويق كرد احراز هويت چندعاملي را براي حسابهاي الكترونيكشان فعال كنند. او در پستي وبلاگ با استناد به آمارهاي مايكروسافت گفت با فعالكردن احراز هويت چندعاملي، از ۹۹ درصد حملات خودكار به حسابهاي مايكروسافت جلوگيري شده است.
حال، بهتازگي مدير بخش امنيت هويت مايكروسافت بهدليل بروز مسائل امنيتي در شبكههاي تلفني، استفاده از احراز هويت مبتنيبر تلفنهمراه را ناايمنترين روش احراز هويت ميداند. بهگفتهي وينرت، تماسهاي صوتي و پيامكي بهصورت متنشفاف (Cleartext) و رمزنگارينشده ارسال ميشوند و هكرها با استفاده از روشها و ابزارهايي مانند راديو نرمافزاري (SDR) و فمتوسلها و شبكههاي SS7 ميتوانند بهراحتي پيامهاي دريافتي را رهگيري كنند.
امكان فيشينگ پيامكهاي حاوي رمزعبور يكبارمصرف با ابزارهاي فيشينگ و متنباز مانند Modlishka و CredSniper و Evilginx نيز وجود دارد. علاوهبراين در حملات تعويض سيمكارت (SIM swapping)، مجرمان با فريب اپراتورها در تعويض سيمكارت، سيمكارت فرد قرباني را بهدست ميآورند و تمامي رمزعبور يكبارمصرف پيامكها و تماسهاي صوتي را بهدست ميآورند. همچنين، تغييرات رگولاتوري شبكههاي تلفني و خرابي و اشكالات در عملكرد همگي روي دسترسي به مكانيزم احراز هويت چندعاملي تأثير ميگذارند و در چنين وضعيتي، متخصص نميتواند در مواقع ضروري احراز هويت انجام دهد.
بهگفتهي وينرت امروزه، پيامك و تماسهاي صوتي كمترين امنيت را در روشهاي احراز هويت چندعاملي دارند. او معتقد است در آينده، اين شكاف امنيتي بيشتر خواهد شد. با گسترش پذيرش احراز هويت چندعاملي، متخصصان بيشتري آن را براي حسابهايشان فعال ميكنند؛ درنتيجه، هكرها بهدنبال راهي براي نفوذ به چنين راهكارهايي هستند و طبيعتا پيامك و تماسهاي صوتي بهدليل داشتن پذيرندههاي بيشتر، اولين هدف آنها قرار ميگيرد.
وينرت اپليكيشن احراز هويت چندعاملي Authenticator مايكروسافت را بهعنوان روشي معرفي ميكند؛ البته كليدهاي امنيتي سختافزاري امنيت بيشتري دارند و سال گذشته، مدير بخش امنيت هويت مايكروسافت آن را در رتبهي اول بهترين راهكار احراز هويت چندعاملي قرار داد. البته هشدار اخير مبنيبر توقف كلي استفاده از احراز هويت چندعاملي مبتنيبر پيامك و تماسهاي صوتي نيست و در زماني بهكار ميآيد كه راهكار ديگري براي احراز هويت چندعاملي وجود ندارد.
هم انديشي ها