Microsoft esorta gli utenti a smettere di utilizzare l’autenticazione a più fattori basata su chiamate e SMS

L’azienda di Redmond consiglia invece di utilizzare autenticazioni basate su app e chiavi di sicurezza.

In questo articolo scopriremo perché Microsoft esorta gli utenti ad abbandonare le soluzioni di autenticazione multifattoriale (MFA) basate sul telefono come i codici monouso inviati tramite SMS e chiamate vocali e sostituirli invece con le più recenti tecnologie MFA, come app e chiavi di sicurezza.

L’avvertimento arriva da Alex Weinert, direttore dell’Identity Security di Microsoft. Nell’ultimo anno, Weinert ha esortato gli utenti ad accettare e abilitare l’MFA per i loro account online.

Citando le statistiche interne di Microsoft, Weinert ha affermato, in un post dell’anno scorso, che gli utenti che hanno abilitato l’autenticazione a più fattori (MFA) hanno finito per bloccare circa il 99,9 % degli attacchi automatici contro i propri account.

Ma in un post recente di follow-up, esso afferma che se gli utenti dovessero scegliere tra più soluzioni MFA, dovrebbero stare alla larga dall’MFA basato sul telefono.

Il dirigente Microsoft cita diversi problemi di sicurezza noti, che non hanno nulla a che vedere con la Multi-Factor Authentication, ma con lo stato delle reti telefoniche ad oggi.

Weinert afferma che sia gli SMS che le chiamate vocali vengono trasmessi in chiaro e possono essere facilmente intercettati da determinati aggressori, utilizzando tecniche e strumenti come radio definite da software, celle FEMTO, o servizi di intercettazione SS7.

I codici monouso basati su SMS sono anche modificabili tramite strumenti di phishing open source come Modlishka , CredSniper o Evilginx.

Inoltre, i dipendenti della rete telefonica possono essere indotti a trasferire i numeri di telefono alla scheda SIM di un hacker, in attacchi noti come SIM swapping, consentendo agli aggressori di ricevere codici monouso MFA per conto delle loro vittime.

In aggiunta, le reti telefoniche sono anche esposte a normative in evoluzione, tempi di inattività e problemi di prestazioni, che influiscono sulla disponibilità del meccanismo MFA in generale, che, a sua volta, impedisce agli utenti di autenticarsi sul proprio account nei momenti di urgenza.

Gli SMS e le chiamate vocali sono oggi il metodo MFA meno sicuro

Quanto detto sopra, rende gli SMS e le chiamate il metodo meno sicuro di autenticazione, secondo Weinert.

Il dirigente di Microsoft ritiene che questo divario tra SMS e chiamate “non farà che aumentare” in futuro.

Man mano che l’adozione di MFA aumenta in generale, con un maggior numero di utenti che la adottano per i propri account, gli aggressori diventeranno sempre più interessati a violare questi metodi, con SMS e chiamate che diventeranno naturalmente il loro obiettivo principale a causa della loro ampia adozione.

Per sentirsi realmente al sicuro, gli utenti dovrebbero utilizzare le chiavi di sicurezza hardware, che Weinert ha classificato come la migliore soluzione MFA in un post pubblicato l’anno scorso.


Le informazioni presenti in questo post, sono prese dall’articolo: https://www-zdnet-com.cdn.ampproject.org/c/s/www.zdnet.com/google-amp/article/microsoft-urges-users-to-stop-using-phone-based-multi-factor-authentication/