Microsoft o weryfikacji dwuetapowej: zalecamy, ale jest mały szczegół
Otóż firma z Redmond, a konkretniej jeden z jej przedstawicieli w osobie Aleksa Weinerta, dyrektora ds. bezpieczeństwa tożsamości, przestrzega przed weryfikacją dwuetapową poprzez SMS.
Weinert wychodzi od spostrzeżenia, że dane przesyłane w publicznych sieciach komórkowych, czy to SMS-y czy połączenia głosowe, nie są szyfrowane. Efektywnie więc, gdy tylko zostaną przechwycone, mogą zostać z marszu odczytane.
Jak twierdzi, mimo iż stosowanie 2FA przekrojowo zmniejsza odsetek udanych ataków do 0,1 proc., akurat używanie w tym celu sieci komórkowej to poważny błąd.
Istotnie, potencjalnych furtek do przejęcia ruchu komórkowego jest sporo. Obok typowego malware'u, wciąż ogromnym zainteresowaniem—co niestety wynika z ich wysokiej skuteczności—cieszą się ataki typu SIM jacking, polegające na przekonaniu operatora do wyrobienia duplikatu karty SIM ofiary. Tak oto napastnik odbiera połączenia i SMS-y jak te do siebie. Ale na tym nie koniec.
Inny przykład to IMSI catcher, czyli urządzenie udające stację przekaźnikową i przechwytujące sygnał w eterze. Jeszcze inny – ataki polegające na uzyskaniu dostępu do istniejących stacji bazowych. Słowem, dane w sieci komórkowej od dawna nie są bezpieczne.
Czy jednak przedstawiciel Microsoftu mówi coś, czego nie wiedzieliśmy? No właśnie. Prawdę powiedziawszy, Weinert zachęca w ten sposób do instalacji apki Microsoft Authenticator, czyli jednego z menedżerów do autoryzacji mobilnej. Chodzi więc o formę autoreklamy. Niemniej w tym przypadku można spółce wybaczyć, wszak radzi z sensem.
Redakcja pozwoli sobie przypomnieć: autoryzacja mobilna (potwierdzenie wykonywane przez zaakceptowanie w aplikacji), a nie SMS czy połączenie, jest właśnie rekomendowanym sposobem zabezpieczania danych. Operacji bankowych także.