Los expertos de Microsoft han vuelto a plantear la cuestión de la inseguridad de la autenticación multifactor a través del teléfono, eso es, a través de códigos de un solo uso en mensajes SMS o llamadas de voz. En cambio, la empresa pide nuevas tecnologías, incluidas aplicaciones de autenticación y claves de seguridad.
Esta vez, la advertencia proviene del jefe de seguridad de identidad de la empresa, Alex Weinert.
Sin embargo, Weinert ahora explica que si un usuario puede elegir entre varios métodos MFA, entonces en ningún caso debería elegir un teléfono.
El experto afirma que la autenticación multifactor a través del teléfono puede depender al menos del estado de las redes telefónicas. Dado que los mensajes SMS y las llamadas de voz se transmiten en claro, Los atacantes pueden interceptarlos fácilmente utilizando métodos y herramientas como SDR. (Radio definida por software), FEMTO o varios errores de SS7.
Además, Los códigos de un solo uso de los mensajes SMS se pueden extraer utilizando herramientas de phishing disponibles y de código abierto, como Modlishka., CredSniper o Evilginx. Alternativamente, Los estafadores pueden engañar a los empleados de los operadores de telefonía móvil para que cambien la tarjeta SIM de la víctima (Estos ataques suelen denominarse intercambio de SIM.), que permitirá a los atacantes obtener códigos MFA de un solo uso en nombre del objetivo.
El especialista aconseja a los usuarios utilizar un mecanismo de autenticación multifactor más potente, si está disponible, y recomienda el Aplicación Microsoft Authenticator. Y si los usuarios sólo quieren lo mejor, generalmente deberían usar llaves de hardware que Weinert llamado la mejor solución MFA del año pasado.
Permítanme recordarles que el punto de vista expresado por Weinert no es nada nuevo.. De nuevo en 2016, el Instituto Nacional de Estándares y Tecnología (NIST) presentó un documento según el cual no se fomentará en el futuro el uso de mensajes SMS para la autenticación de dos factores. El documento establece explícitamente que se considerará el uso de mensajes SMS para la autenticación de dos factores. «inválido» y «inseguro».
Déjame recordarte que Los investigadores piratearon la aplicación TikTok a través de SMS, y yo también escribí eso Los atacantes pueden eludir la autenticación multifactor de TikTok a través del sitio.