Microsoft не рекомендует использовать коды в SMS-сообщениях для MFA

   Microsoft призывает пользователей отказаться от реализаций многофакторной аутентификации (MFA), в которых задействуются одноразовые коды, отправленные в SMS-сообщениях, или голосовые вызовы.
   Корпорация рекомендует использовать более современные средства для MFA: электронные ключи или аутентификаторы на основе приложений. Алекс Уайнерт, отвечающий в Microsoft за управление идентификацией и доступом отмечает, что, если у пользователя есть выбор, ему следует держаться подальше от MFA, основанной на SMS-сообщениях и звонках. Основная проблема заключается в передаче пользователю кода в виде простого текста. Взяв на вооружение современные инструменты (например, SS7-прослушку), злоумышленники могут перехватить второй фактор для аутентификации. Одноразовые пароли также можно выкрасть с помощью фишинговых наборов Modlishka, CredSniper и Evilginx. Кстати, исходный код этих инструментов доступен всем желающим.
   Более того, сами сотрудники оператора сотовой связи могут стать жертвой киберпреступника. Та же атака "SIM swapping" поможет получить пароли для доступа к аккаунту жертвы. Помимо этого, у операторов связи могут возникнуть и не связанные с атаками проблемы: простои, сбои в работе оборудования, смена требований регуляторов. Всё это может негативно сказаться на работе многофакторной аутентификации.

Источник: Информационно-аналитический журнал ПЛАС https://plusworld.ru/daily/cat-security-and-id/microsoft-ne-rekomenduet-ispolzovat-kody-v-sms-soobshheniyah-dlya-mfa/

13.11.2020