Microsoft, bu nedenle SMS güvenlik kodlarını kullanmayı bırakmanız gerektiğini söylüyor

Microsoft, bu nedenle SMS güvenlik kodlarını kullanmayı bırakmanız gerektiğini söylüyor


Getty

Bu nedenle Microsoft, Facebook, PayPal, Twitter, PlayStation, Uber, Dropbox, Amazon ve Microsoft gibi şirketlerin bize gönderdiği güvenlik şifreleri için SMS’den “uzak durmamız” konusunda hepimizi uyardı. Şaşırtıcı olmayan bir şekilde, uyarı “Microsoft, telefonunuzda SMS tabanlı iki faktörlü kimlik doğrulamanın kullanılmasına karşı uyarıyor“Ve Microsoft, kullanıcılara şunu söyledi”SMS çok faktörlü kimlik doğrulamasından kurtulun. “

Microsoft’un uyarısı potansiyel olarak tehlikeli ve kesinlikle ironiktir. Bu yılın başında, onaylanmış kendi işletme hesaplarının yalnızca% 11’inin çok faktörlü kimlik doğrulamasının (MFA) etkinleştirildiğini, bu hesapların bir milyonunun her ay güvenliğinin ihlal edildiğini ve hiç SMS dahil bir MFA biçimi, bu saldırıların% 99’unu önleyecektir. MFA ile ilgili en büyük sorun, SMS’nin talihsiz güvenliği değil, kabul edilmesidir. Cyjax CISO Ian Thornton-Trump’ın da belirttiği gibi, Office 365’te SMS MFA yok, “ABD federal ajansı bile böyle ‘kandırıldı’; tüm saldırı hafifletilebilirdi. “

Yeni SMS güvenlik uyarısı, Microsoft’un Kimlik Güvenliği Direktörü Alex Weinert’ten geldi ve bir blog gönderisinde “Sizi çok faktörlü ses kimlik doğrulamasından uzaklaşmanın zamanının geldiğine ikna etmek için elimden geleni yapmak istiyorum. ve SMS (MFA) “. SMS mesajları vardır diğer MFA biçimlerinin olmadığı bir şekilde bağlılığa açık. Ancak alabilecekleri SMS erişim kodlarının basitliği hiç Telefonun yenilmesi imkansız hale geldi. Çoğumuz için her yerde bulunmasına ve kullanım kolaylığına uyan geçerli alternatifler yoktur. Ve bu gerçek sorun.

SMS güvenlik ihlalleri sırasında vardır Teknik olarak ulaşılabilir, neredeyse hiç kimse bu makaleyi okuyan birinin kurbanı olmayacak; neredeyse herkes bu makaleyi oku zaten Yıllar içinde bir veya daha fazla kullanıcı adı ve şifre ihlalinin kurbanı olmuş ve şifrenin yeniden kullanımı veya sprey saldırıları riski altında olacaktır. Herhangi bir MFA önemli ölçüde MFA olmamasından daha iyi.

Şubat ayında Weinert, saldırıya uğrayan Microsoft hesaplarının sayısını “çok, çok, çok yüksek bir sayı; 10.000 kullanıcılı bir kuruluşunuz varsa, bu ay 50 tanesinin güvenliği ihlal edilecek” dedi. MFA’daki matematik o zamandan beri değişmedi. Bu son blog gönderisinde Weinert, “herhangi bir MFA türü kullanan hesaplar için katılım oranının% 0,1’den az olduğunu” doğrulamaktadır. Ve buna SMS dahildir.

SMS MS MFS mesajları

Microsoft MFA

SMS ile ilgili sorun, dünyadaki birçok hücresel ağda bulunan eski bir mimariye dayanmasıdır. Bir SMS gönderdiğinizde, telefonunuz ve şebekeniz arasında güvenli olabilir, ancak bir kez orada, göndericiden alıcıya yoldaki çeşitli operatörlerdeki çeşitli SMS mesaj merkezleri arasında düz metin şeklinde geri dönebilir.

Aslında, Microsoft’tan gelen bu yeni uyarı, iletişimlerimizden herhangi biri için neden SMS’den uzak durmamız gerektiğinin tüm nedenlerini ortaya koyuyor. Weinert, “Ses ve SMS protokolleri geliştirildiğinde şifreleme olmadan tasarlandılar” diye açıklıyor. Pratik bir kullanılabilirlik perspektifinden, bu protokollerin üzerine şifrelemeyi yerleştiremeyiz çünkü kullanıcılar bunları okuyamayacaktır (mesaj doygunluğu gibi mesajların mevcut protokolleri devralmasını engelleyen başka nedenler de vardır). Bunun anlamı, anahtarlama ağına veya bir cihazın radyo menziline erişebilen herhangi birinin sinyalleri yakalayabileceğidir. “

Nispeten karmaşık bir saldırı, ağ içindeki SMS mesajlarını yakalayabilir veya kodları alındığı anda kullanıcı adları ve parolalarla birlikte toplamak için akıllı telefonlara kötü amaçlı yazılımlar yerleştirebilir. En basit saldırılar, ağların, kullanıcıların kimlik bilgilerini girmelerini isteyen çift SIM kartlar veya kimlik avı sitelerini kandırarak kandırıldığı, ardından gerçek siteye perde arkasından girilen SIM takasına odaklanır ve daha sonra alındığında MFA kodu. En basit saldırılar, kullanıcıları aldıkları kodları başkalarına iletmeleri için kandırır.

Ancak, MFA’nın yokluğu ve saldırılar çok daha gelişigüzel olabilir ve kimlik bilgilerinin ihlal edilmesi veya yeniden kullanılması yoluyla toplu olarak hesaplardan ödün verebilir. SMS güvenlik taahhütleri farklıdır, yönetilen. Bir saldırganın telefon numaranızı bilmesi veya akıllı telefonunuza kötü amaçlı yazılım yerleştirmesi gerekir. Hesap kimlik bilgilerini daha sonra alacakları SMS koduna bağlamanın bir yolunu bulmaları ve bu kodun zaman aralığı içinde bu hesabı ihlal etmeleri gerekir. Akıllı kimlik avı sitelerinin kullanıcıları bu tür kodlardan vazgeçmeleri için kandırdığını görmüş olsak da, bunlar hala nispeten sıradışı. En olası SMS ihlali, SMS’i bir “arkadaşa” iletmek için kandırıldığınız bir sosyal mühendislik hilesidir.

Güvenlik brifingi yazarı John Opdenakker, “Bunların hala hedefli saldırılar olduğunu anlamak önemlidir; ortalama bir kullanıcı için kimlik avı veya kimlik bilgilerini doldurma gibi büyük saldırılar tarafından ele geçirilen hesaplara sahip olma riski çok daha yüksektir” diyor. Ve SMS MFA şaşırtıcı derecede etkilidir. Forrester’a göre, hedeflenen saldırıların% 76’sını bile engelliyor. Bazı servis sağlayıcılar vardır MFA seçeneği olarak SMS’i kaldırın, ancak bu bir istisnadır. Trend ters yönde ilerliyor. PayPal’ın kısa süre önce MFA aracılığıyla işlemleri güvenli hale getirme hamlesinde görüldüğü gibi, SMS varsayılan değerdir.

Microsoft, güvenli bir alternatif olarak kimlik doğrulama uygulamasını devreye sokuyor. Weinert, “Doğru cevabın uygulama tabanlı kimlik doğrulama olduğunu düşünüyoruz” diye açıklıyor. “Bizim için bu, Microsoft Authenticator demektir.” Teorik olarak, akıllı telefonunuzda çalışan bir uygulamanın kullanımı bir SMS mesajı kadar kolay olmalıdır. Ve bu makaleyi okuyan birçok kişi için bu doğru olabilir. Ancak geleneksel hizmetlerin kullanıcılarının büyük çoğunluğu için durum böyle değil.

SMS’nin daha geniş bir konusuna gelince, bu son uyarıdaki ironi, MFA’nın bugünlerde birkaç değerli kullanımdan biri olmasıdır – bunlar ve hizmet sağlayıcılardan herhangi bir risk oluşturmayan tek kullanımlık bildirimler güvenlik. Kendi iletişiminiz için, Apple ekosistemindeyseniz WhatsApp veya Signal veya iMessage gibi güvenli, uçtan uca şifreli bir mesajlaşma programına geçmelisiniz.

MFA’ya gelince, doğru cevap, hesap erişimini doğrulamak için iPhone ve Android biyometrik güvenliğini kullanmak için Apple ve Google tarafından uygulanan platform merkezli MFA’ya açık erişimdir. Bu arada sen meli istediğini kullan olmak kullanın. Bir kimlik doğrulama uygulaması veya fiziksel anahtar kurmaya ve kullanmaya hazırsanız, bu açıkça daha güvenlidir. Bunu çok karmaşık veya hantal olarak atlama olasılığınız varsa, SMS ile devam edin.

En iyi güvenlik, her zaman kullanabileceğiniz ve kullanacağınız güvenliktir. Gerçekten bu kadar basit. Red Goat Cyber ​​Security’den Lisa Forte, “Yıllardır tek şifresi olarak ‘Yaz1’i kullanan biri için,” diyor, “SMS 2FA’yı etkinleştirmek büyük bir ilerleme. Mükemmel bir çözüm mü? Kesinlikle hayır, ama artık o kişiye saldırmak ondan daha zor. “

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Aşağıda gördüğünüz rakamları girin : *

Reload Image