Microsoft esorta gli utenti ad abbandonare le soluzioni di autenticazione multifattori (MFA) basate sul telefono come i codici monouso inviati tramite SMS e chiamate vocali e sostituirli invece con le più recenti tecnologie MFA, come gli autenticatori basati su app e le chiavi di sicurezza.
L’avvertimento arriva da Alex Weinert, Director of Identity Security di Microsoft. Nell’ultimo anno, Weinert ha sostenuto per conto di Microsoft, le motivazioni per invitare gli utenti ad accettare e abilitare MFA per i loro account online.
Citando le statistiche interne di Microsoft, Weinert ha affermato in un post sul blog l’anno scorso che gli utenti che hanno abilitato l’autenticazione a più fattori (MFA) sono riusciti a bloccare circa il 99,9% degli attacchi automatici contro i propri account Microsoft.
Ma in un post sul blog di follow-up di oggi, Weinert afferma che se gli utenti devono scegliere tra più soluzioni MFA, dovrebbero stare alla larga dall’AMF basato sul telefono.
Il dirigente Microsoft cita diversi problemi di sicurezza noti, non con MFA, ma con lo stato delle reti telefoniche oggi.
Weinert afferma che sia gli SMS che le chiamate vocali vengono trasmesse in chiaro e possono essere facilmente intercettate da determinati aggressori, utilizzando tecniche e strumenti come le radio definite dal software, le celle FEMTO o i servizi di intercettazione SS7.
I codici monouso basati su SMS sono anche modificabili tramite strumenti di phishing open source e prontamente disponibili come Modlishka, CredSniper o Evilginx.
Inoltre, i dipendenti della rete telefonica possono essere indotti a trasferire i numeri di telefono alla scheda SIM di un hacker – in attacchi noti come SIM swapping, consentendo agli aggressori di ricevere codici monouso MFA per conto delle loro vittime.
Inoltre, le reti telefoniche sono anche esposte a normative in evoluzione, tempi di inattività e problemi di prestazioni, che influiscono sulla disponibilità del meccanismo MFA in generale, che, a sua volta, impedisce agli utenti di autenticarsi sul proprio account nei momenti di urgenza.
GLI SMS E LE CHIAMATE VOCALI SONO OGGI IL METODO MFA MENO SICURO
Tutto ciò rende gli SMS e l’MFA basato sulle chiamate “il meno sicuro dei metodi MFA oggi disponibili”, secondo Weinert.
Il dirigente di Microsoft ritiene che questo divario tra SMS e MFA basato su voce “non farà che aumentare” in futuro.
Man mano che l’adozione di MFA aumenta in generale, con un maggior numero di utenti che adottano MFA per i propri account, gli aggressori diventeranno anche più interessati a violare i metodi MFA, con SMS e MFA basati su voce che diventano naturalmente il loro obiettivo principale a causa della sua ampia adozione.
Weinert afferma che gli utenti dovrebbero abilitare un meccanismo MFA più forte per i loro account, se disponibile, raccomandando l’app Authenticator MFA di Microsoft come buon punto di partenza.
Ma se gli utenti vogliono il meglio, dovrebbero utilizzare le chiavi di sicurezza hardware, che Weinert ha classificato come la migliore soluzione MFA in un post sul blog che ha pubblicato l’anno scorso.
PS: ATTENZIONE. Questo però non dovrebbe significare che gli utenti debbano disabilitare gli SMS o MFA basati sulla voce per i loro account. L’OTP SMS è ancora molto meglio di avere nessun MFA.
