Skip to content

Varför telefonbaserad autentisering kan vara osäker

20 de juni de 2021
GettyImages 1197506471 f8e5aa8564244221a7a48b117bb84cd9

Viktiga takeaways

  • Hackare kan stjäla telefonbaserade koder för multifaktorautentisering (MFA), säger experter.
  • Telefonföretag har lurats att överföra telefonnummer så att brottslingar kan få koder.
  • Ett enkelt, billigt sätt att öka säkerheten är att använda autentiseringsappen på din telefon.

För att vara säker från hackare, sluta använda telefonbaserade MFA-koder (multi-factor authentication) som skickas via SMS och röstsamtal, skriver en säkerhetsexpert i en ny analys. Telefonkoder är utsatta för avlyssning av hackare, skrev Alex Weinert, chef för identitetssäkerhet på Microsoft, i ett nyligen blogginlägg. Textbaserade koder är bättre än ingenting, säger observatörer. Men användare bör ersätta telefonbaserad autentisering med appar och säkerhetsnycklar. ”Dessa mekanismer är baserade på allmänt kopplade telefonnät (PSTN), och jag tror att de är minst säkra av de MFA-metoder som finns idag”, skrev han. ”Denna klyfta kommer bara att öka när MFA-antagandet ökar angriparnas intresse för att bryta dessa metoder och specialbyggda autentiserare utökar deras säkerhets- och användbarhetsfördelar. Planera din övergång till lösenordsfri stark autentisering nu – autentiseringsappen ger ett omedelbart och utvecklingsalternativ.” MFA är en säkerhetsmetod där en datoranvändare får åtkomst till en webbplats eller applikation först efter framgångsrikt presenterat två eller flera bevis för en autentiseringsmekanism. Dessa koder skickas ofta via telefon.

Hackare låtsas vara dig

Det finns sätt som hackare kan få tillgång till telefonkoder, men observatörer säger. I vissa fall har telefonföretag lurats till att överföra telefonnummer så att hackare kan få koder. ”Telefoner är så osäkra att användare ofta får bluffsamtal dirigerade till dem från tredje världsländer medan de visar amerikanska regionala telefonnummer”, säger Matthew Rogers, CISO för molnleverantören Syntax, i en e-postintervju. ”Telefoner är också föremål för SIM-bytesattacker, som enkelt kan kringgå MFA via SMS.” Nyligen blev den populära BBC-radiovärden Jeremy Vine utsatt för en attack som ledde till att hans WhatsApp-konto trängdes in.

”Attacken som framgångsrikt lurat Vine börjar med mottagandet av ett till synes oönskat SMS-meddelande som innehåller tvåfaktorautentiseringskoden till deras konto,” sa Ray Walsh, dataskyddsexpert på sekretessgranskningssidan ProPrivacy, i en e-postintervju. ”Därefter får offret ett direktmeddelande från en kontakt som påstår sig ha skickat en kod av misstag. Slutligen uppmanas offret att vidarebefordra koden till hackaren, vilket ger dem omedelbar tillgång till offrets konto.” Programvara kan också vara ett problem. ”På grund av enhetssårbarheter kan MFA potentiellt avlyssnas av en läckande app eller en komprometterad enhet som användaren inte känner till”, säger George Freeman, lösningskonsult vid regeringsgruppen för LexisNexis Risk Solutions, i en e-postintervju.

Ge inte upp din telefon ännu

Textbaserad MFA är dock bättre än ingenting, säger experter. ”MFA är ett av de mest kraftfulla verktygen en användare har för att skydda sina konton”, säger Mark Nunnikhoven, vice vd för molnforskning på cybersäkerhetsföretaget Trend Micro, i en e-postintervju. ”Det bör vara aktiverat när det är möjligt. Om du har valet, använd en autentiseringsapp på din smartphone – men i slutändan, se bara till att MFA är aktiverat i någon form.”

Ett enkelt, billigt sätt att öka säkerheten är att använda autentiseringsappen på din telefon, säger Peter Robert, medgrundare och VD för IT-företaget Expert Computer Solutions, i en e-postintervju. ”Om du har budgeten och anser att säkerhet är kritisk, skulle jag uppmana dig att utvärdera maskinvarubaserade MFA-nycklar,” tillade han. ”För företag och privatpersoner som är bekymrade över säkerhet, skulle jag också rekommendera en mörk webbövervakningstjänst för att låta dig veta om personlig information om dig är tillgänglig och till salu på det mörka nätet. ”

Closeup av ett finger på en fingeravtrycksläsare.

För en mer Omöjligt uppdrag-stil, den nya standarden FIDO2 med Webauthn använder biometrisk autentisering, säger Freeman. ”Användaren ansluter till en finansiell webbplats, anger ett användarnamn, webbplatsens kontakter [the] användarens mobila enhet, en säker app på [the] uppmanar sedan användaren om [their] ansikts-ID eller fingeravtryck. När det är framgångsrikt autentiserar det sedan webbsessionen, ”sa han. Med så många möjliga hot kan det vara dags att börja leta efter säkrare sätt att logga in på webbplatser som lagrar personlig information. Hackare kan lura på webben bara väntar för att fånga ditt lösenord.