DDos
VIP Members
-
22/10/2013
-
524
-
2.189 bài viết
Microsoft khuyên người dùng không sử dụng xác thực đa yếu qua tin nhắn & gọi thoại
Microsoft kêu gọi người dùng không tiếp tục sử dụng các giải pháp xác thực đa yếu tố trên điện thoại như nhận mã xác thực một lần được gửi thông qua tin nhắn SMS cũng như cuộc gọi thoại, thay vào đó sử dụng các công nghệ xác thực mới hơn, như trình xác thực dựa trên ứng dụng và khóa bảo mật.
Chuyên gia bảo mật của Microsoft, Alex Weinert từ lâu đã khuyến khích người dùng sử dụng xác thực đa yếu tố để tăng cường tính bảo mật cho các tài khoản trực tuyến của người dùng.
Theo thống kê từ Microsoft, Weinert nói rằng, với việc sử dụng xác thực đa yếu tố, người dùng có thể ngăn chặn được 99.9% các cuộc tấn công vào tài khoản của họ.
Trong một bài đăng mới đây, chuyên gia cho rằng mặc dù người dùng có rất nhiều sự lựa chọn các giải pháp xác thực đa yếu tố, nhưng Weinert khuyên người dùng không sử dụng cơ chế xác thực đa yếu tố dựa trên điện thoại.
Weinert cho rằng vấn đề không an toàn của cơ chế xác thực qua điện thoại không bắt nguồn từ cơ chế sinh mã của nó, mà nó bắt nguồn từ lỗ hổng trong mạng di động. Với việc nhận mã xác thực thông qua tin nhắn SMS hay cuộc gọi thoại, mã xác thực này được truyền dưới dạng văn bản rõ, do đó tin tặc có thể dễ dàng đánh cắp mã này thông qua kỹ thuật tấn công và công cụ như FEMTO hay SS7. Gần đây, WhiteHat cũng đưa ra cảnh báo sự thiếu an toàn khi sử dụng xác thực OTP thông qua vụ việc một khách hàng của Vietcombank bị bốc hơi 406 triệu đồng trong tài khoản.
Hơn nữa, tin tặc cũng có thể sử dụng các cuộc tấn công lừa đảo để ăn cắp mã xác thực dựa trên tin nhắn SMS với các công cụ có sẵn như Modlishka, CredSniper, hoặc Evilginx. Ngoài ra, các tấn công hoán đổi sim (SIM swapping) cũng cho phép tin tặc nhận mã xác thực của mục tiêu tấn công.
Ngoài ra, tính khả dụng của cơ chế sinh mã thông qua tin nhắn hay cuộc gọi thoại cũng bị phụ thuộc vào mạng di động, do đó ảnh hưởng đến hiệu quả cuộc việc nhận mã (nhiều trường hợp rất lâu sau khi yêu cầu mã xác thực mới có thể nhận được mã) trong các trường hợp khẩn cấp.
Weinert kết luận rằng, xác thực dựa trên điện thoại đã không còn an toàn nữa và khuyên người dùng sử dụng các cơ chế xác thực đa yếu tố mạnh hơn như sử dụng Google Authenticator hay Microsoft Authenticator.
Nhằm đảo bảo tính bảo mật tối đa cho toàn khoản trực tuyến, Weinert khuyến khích người dùng sử dụng các khóa bảo mật phần cứng.
Chuyên gia bảo mật của Microsoft, Alex Weinert từ lâu đã khuyến khích người dùng sử dụng xác thực đa yếu tố để tăng cường tính bảo mật cho các tài khoản trực tuyến của người dùng.
Theo thống kê từ Microsoft, Weinert nói rằng, với việc sử dụng xác thực đa yếu tố, người dùng có thể ngăn chặn được 99.9% các cuộc tấn công vào tài khoản của họ.
Trong một bài đăng mới đây, chuyên gia cho rằng mặc dù người dùng có rất nhiều sự lựa chọn các giải pháp xác thực đa yếu tố, nhưng Weinert khuyên người dùng không sử dụng cơ chế xác thực đa yếu tố dựa trên điện thoại.
Weinert cho rằng vấn đề không an toàn của cơ chế xác thực qua điện thoại không bắt nguồn từ cơ chế sinh mã của nó, mà nó bắt nguồn từ lỗ hổng trong mạng di động. Với việc nhận mã xác thực thông qua tin nhắn SMS hay cuộc gọi thoại, mã xác thực này được truyền dưới dạng văn bản rõ, do đó tin tặc có thể dễ dàng đánh cắp mã này thông qua kỹ thuật tấn công và công cụ như FEMTO hay SS7. Gần đây, WhiteHat cũng đưa ra cảnh báo sự thiếu an toàn khi sử dụng xác thực OTP thông qua vụ việc một khách hàng của Vietcombank bị bốc hơi 406 triệu đồng trong tài khoản.
Hơn nữa, tin tặc cũng có thể sử dụng các cuộc tấn công lừa đảo để ăn cắp mã xác thực dựa trên tin nhắn SMS với các công cụ có sẵn như Modlishka, CredSniper, hoặc Evilginx. Ngoài ra, các tấn công hoán đổi sim (SIM swapping) cũng cho phép tin tặc nhận mã xác thực của mục tiêu tấn công.
Ngoài ra, tính khả dụng của cơ chế sinh mã thông qua tin nhắn hay cuộc gọi thoại cũng bị phụ thuộc vào mạng di động, do đó ảnh hưởng đến hiệu quả cuộc việc nhận mã (nhiều trường hợp rất lâu sau khi yêu cầu mã xác thực mới có thể nhận được mã) trong các trường hợp khẩn cấp.
Weinert kết luận rằng, xác thực dựa trên điện thoại đã không còn an toàn nữa và khuyên người dùng sử dụng các cơ chế xác thực đa yếu tố mạnh hơn như sử dụng Google Authenticator hay Microsoft Authenticator.
Nhằm đảo bảo tính bảo mật tối đa cho toàn khoản trực tuyến, Weinert khuyến khích người dùng sử dụng các khóa bảo mật phần cứng.
Theo: ZDNet
Chỉnh sửa lần cuối bởi người điều hành: