Microsoft: ne uporabljajte večstopenjske avtentikacije s SMS ali telefonskimi klici

Pravzaprav priporočilo za nobenega poznavalca mobilnih omrežij ne bi smelo biti presenečenje, a vseeno malokdo tako neposredno pove, kot je to storil Alex Weinert, ki je v Microsoftu vodja programa Identity Security. V svojem blogu je zapisal, da je sicer vsaka dvostopenjska avtentikacija (MFA) boljša kot nobena, a da je uporaba mobilnih omrežij, torej prejemanje kod prek smsov ali s telefonskimi klici, varnostno zelo šibka metoda.

MFA je učinkovita zaščita. Microsoft ocenjuje, da se z uporabo MFA prepreči 99,9 odstotka avtomatiziranih napadov, kar je Weinart ocenjeval v blogu že julija lani. Po drugi strani so izključno gesla v večini primerov slab način zaščite identitet. Kaj je torej narobe z MFA prek mobilnih telefonov?

Mobilna omrežja so bila zgrajena v nekem drugem času, zaradi zagotavljanja združljivosti in enostavnosti uporabe pa še danes v njih mrgoli ranljivosti. Napad na protokol SS7, FEMTOcelice in drugi načini prestrezanja pomenijo, da telefonska števila ni varen in unikatni identifikator. Če ne drugega, je možno dostop dobiti s prenosom številke na drugo kartico SIM (SIM swapping), kjer gre v bistvu za socialni inženiring. K temu lahko dodamo še nezanesljivost telefonov, saj se kvarijo, kradejo ali preprosto spraznijo (baterije). S povečanjem uporabe MFA, se bo še povečala motivacija hekerjev za razbitje enostavnejših metod MFA.

Weinert zato priporoča druge načine MFA. Precej boljši so povezani z aplikacijami (app-based), kot so na primer Microsoft Authenticator, Google Authenticator, Cisco Duo Mobile in drugi, ali pa strojne.