استفاده از احراز هویت چندعاملی مبتنی‌بر پیامک و تماس‌ صوتی ایمن نیست

پاورتل/ مدیر مایکروسافت استفاده از احراز هویت مبتنی‌بر اپلیکیشن‌ و کلیدهای امنیتی را به‌عنوان روش‌های ایمن‌ پیشنهاد می‌کند.
   
الکس وینرت، رئیس بخش امنیت هویت مایکروسافت، به کاربران درباره‌ی راهکارهای احراز هویت چندعاملی (MFA) مبتنی‌بر تلفن‌همراه مانند تماس‌های صوتی و پیامک‌های حاوی رمزعبور یک‌بارمصرف هشدار داد و از آن‌ها خواست روش‌های ایمن‌تر مانند کلیدهای امنیتی و احراز هویت مبتنی‌بر اپلیکیشن را جایگزین کنند.

سال گذشته، وینرت کاربران را تشویق کرد احراز هویت چندعاملی را برای حساب‌‌های آنلاینشان فعال کنند. او در پستی وبلاگ با استناد به آمارهای مایکروسافت گفت با فعال‌کردن احراز هویت چندعاملی، از ۹۹ درصد حملات خودکار به حساب‌های مایکروسافت جلوگیری شده است.

حال، به‌تازگی مدیر بخش امنیت هویت مایکروسافت به‌دلیل بروز مسائل امنیتی در شبکه‌های تلفنی، استفاده از احراز هویت مبتنی‌بر تلفن‌همراه را ناایمن‌ترین روش احراز هویت می‌داند. به‌گفته‌ی وینرت، تماس‌های صوتی و پیامکی به‌صورت متن‌شفاف (Cleartext) و رمزنگاری‌نشده ارسال می‌شوند و هکرها با استفاده از روش‌ها و ابزارهایی مانند رادیو نرم‌افزاری (SDR) و فمتوسل‌ها و شبکه‌های SS7 می‌توانند به‌راحتی پیام‌های دریافتی را رهگیری کنند.

امکان فیشینگ پیامک‌های حاوی رمزعبور یک‌بارمصرف با ابزارهای فیشینگ و متن‌باز مانند Modlishka و CredSniper و Evilginx نیز وجود دارد. علاوه‌براین در حملات تعویض سیم‌کارت (SIM swapping)، مجرمان با فریب اپراتورها در تعویض سیم‌کارت، سیم‌کارت فرد قربانی را به‌دست می‌آورند و تمامی رمزعبور یک‌بارمصرف پیامک‌ها و تماس‌های صوتی را به‌دست می‌آورند. همچنین، تغییرات رگولاتوری شبکه‌های تلفنی و خرابی و مشکلات در عملکرد همگی روی دسترسی به مکانیزم احراز هویت چندعاملی تأثیر می‌گذارند و در چنین وضعیتی، کاربر نمی‌تواند در مواقع ضروری احراز هویت انجام دهد.

به‌گفته‌ی وینرت امروزه، پیامک و تماس‌های صوتی کمترین امنیت را در روش‌های احراز هویت چندعاملی دارند. او معتقد است در آینده، این شکاف امنیتی بیشتر خواهد شد. با گسترش پذیرش احراز هویت چندعاملی، کاربران بیشتری آن را برای حساب‌هایشان فعال می‌کنند؛ درنتیجه، هکرها به‌دنبال راهی برای نفوذ به چنین راهکارهایی هستند و طبیعتا پیامک و تماس‌های صوتی به‌دلیل داشتن پذیرنده‌های بیشتر، اولین هدف آن‌ها قرار می‌گیرد.

وینرت اپلیکیشن احراز هویت چندعاملی Authenticator مایکروسافت را به‌عنوان روشی معرفی می‌کند؛ البته کلیدهای امنیتی سخت‌افزاری امنیت بیشتری دارند و سال گذشته، مدیر بخش امنیت هویت مایکروسافت آن را در رتبه‌ی اول بهترین راهکار احراز هویت چندعاملی قرار داد. البته هشدار اخیر مبنی‌بر توقف کلی استفاده از احراز هویت چندعاملی مبتنی‌بر پیامک و تماس‌های صوتی نیست و در زمانی‌ به‌کار می‌آید که راهکار دیگری برای احراز هویت چندعاملی وجود ندارد.