A többtényezős hitelesítés már nem is olyan nagy újdonság. A netbankba való belépéshez már kötelező, januártól pedig a netes vásárlásnak is elengedhetetlen része lesz. Sokan még hozzá sem szoktak igazán, hogy már nem elég a jelszavukat megjegyezni a felhasználónév mellé bizonyos szolgáltatások esetében, mára pedig odáig jutottunk, hogy például az SMS-ben kapott kód nem a legjobb megoldás, máris kifejtjük, miért:

  • Egyrészt, nem csak az SMS, hanem a hanghívás formában kapott kód sem igazán jó, mégpedig azért, mert ezek a csatornák nincsenek titkosítva, így bizony jóval könnyebb elcsípni a bennük lévő tartalmat. Például egy SMS clear textként utazik, amit csak az nem olvas el, aki nem is akarja.
  • Az SMS kódok bizony a phishing támadásoknak is kitettebbek. A Modlishka nevű tool, a valódi oldal tartalmát használja a felhasználótól való adatlopás során, és mikor megkapta a megfelelő információkat (felhasználónév, jelszó, SMS-ben kapott token), tovább is engedi a felhasználót a valódi oldal felé, viszont maga is szépen bekúszik a felhasználó fiókjába.
  • A telefontársaságok (és az ott dolgozók) sajnos megvezethetők: egy illetéktelen is megteheti akár, hogy az SMS küldést vagy hívást transzferáljon az áldozat telefonszámáról a sajátjára, és megint csak sikeres volt a lopás.
  • Sajnos előfordulhat, hogy a telefontársaságnál kiesés van, és nem kapjuk meg a kódot, ami pedig dependenssé teszi a beléptetést. A MFA alkalmazások és a fizikai biztonsági kulcsok offline is működnek, így nem vagyunk kitéve egy esetleges szolgáltatói hibából adódó késésnek.
  • Sajnos tény, hogy az SMS nem fejlődik, ezáltal biztonságosabb sem lesz az évek múlásával. Míg a támadók egyre szofisztikáltabb módszerekkel igyekeznek ellopni adatainkat és/vagy bejutni céges hálózatokba, úgy lesz egyre nagyobb szükségünk olyan ellen-megoldásokra, amelyekkel hatékonyabban védekezhetünk.

Összességében mit tehetünk? Használjunk másodlagos hitelesítésként fejlettebb eszközöket, mint például az Authenticator app, vagy pendrive formájú fizikai hitelesítési kulcsot, így védjük magunkat és felhasználói identitásunkat.

A Microsoft Identity Security igazgatója, Alex Weiner cikke alapján.