Asosiy takliflar
- Hackerlar telefonga asoslangan koʻp faktorli autentifikatsiya kodlarini oʻgʻirlashi mumkin, deydi ekspertlar.
- Telefon kompaniyalari jinoyatchilarga kodlarni olishlari uchun telefon raqamlarini oʻtkazishga aldangan.
- Xavfsizlikni oshirishning oddiy va arzon usuli bu telefoningizda autentifikatsiya ilovasidan foydalanishdir.
Hakerlardan xavfsiz boʻlish uchun SMS va ovozli qoʻngʻiroqlar orqali yuboriladigan telefonga asoslangan koʻp faktorli autentifikatsiya kodlaridan foydalanishni toʻxtating, deb yozadi xavfsizlik boʻyicha yetakchi mutaxassis yangi tahlilida.
Telefon kodlari xakerlar tomonidan ushlanib qolishi mumkin, deb yozadi Microsoft kompaniyasining identifikator xavfsizligi bo'yicha direktori Aleks Vaynert so'nggi blog postida. Matnga asoslangan kodlar hech narsadan yaxshiroq, deydi kuzatuvchilar. Lekin foydalanuvchilar telefonga asoslangan autentifikatsiyani ilovalar va xavfsizlik kalitlari bilan almashtirishlari kerak.
"Ushbu mexanizmlar umumiy kommutatsiya qilingan telefon tarmoqlariga (PSTN) asoslangan va menimcha, ular TIVning bugungi kunda mavjud boʻlgan usullari orasida eng xavfsizi," deb yozdi u.
"Bu boʻshliq faqat TIVning qabul qilinishi tajovuzkorlarning ushbu usullarni buzishga boʻlgan qiziqishini oshirishi va maxsus ishlab chiqilgan autentifikatorlar xavfsizlik va foydalanish imkoniyatlarini kengaytirishi bilan kengayadi. Parolsiz kuchli autentifikatsiyaga oʻtishni hozir rejalashtiring – autentifikatsiya ilovasi darhol va rivojlanayotgan variant."
MFA bu xavfsizlik usuli boʻlib, unda kompyuter foydalanuvchisiga autentifikatsiya mexanizmiga ikki yoki undan ortiq dalillarni muvaffaqiyatli taqdim etgandan keyingina veb-sayt yoki ilovaga kirish huquqi beriladi. Bu kodlar odatda telefon orqali yuboriladi.
Hackerlar oʻzingizni sizdek koʻrsatishadi
Hackerlar telefon kodlariga kirishning yoʻllari bor, biroq kuzatuvchilar fikricha. Baʼzi hollarda telefon kompaniyalari aldanib, telefon raqamlarini oʻtkazib, xakerlarga kodlarni olishlari mumkin.
"Telefonlar shunchalik xavfsizki, foydalanuvchilar Amerikaning mintaqaviy telefon raqamlarini ko'rsatgan holda uchinchi dunyo davlatlaridan ularga ko'pincha firibgar qo'ng'iroqlarni olishadi ", dedi Metyu Rojers, Syntax bulut provayderining CISO bo'limi elektron pochta orqali bergan intervyusida. "Telefonlar ham SIM-kartani almashtirish hujumlariga duchor bo'ladi, bu esa matnli xabar orqali TIVni osongina chetlab o'tishi mumkin."
Yaqinda mashhur BBC radiosi boshlovchisi Jeremi Vine hujum qurboni boʻldi va bu uning WhatsApp akkauntiga kirishiga olib keldi.
"Vine-ni muvaffaqiyatli aldagan hujum ularning akkauntiga ikki faktorli autentifikatsiya kodini o'z ichiga olgan nomaqbul SMS-xabarni olish bilan boshlanadi", dedi ProPrivacy maxfiylikni tekshirish saytining ma'lumotlar maxfiyligi bo'yicha mutaxassisi Rey Uolsh. elektron pochta intervyusi.
"Shundan so'ng, jabrlanuvchi kontaktdan to'g'ridan-to'g'ri xabar oladi va u tasodifan ularga kod yuborgani haqida da'vo qiladi. Nihoyat, jabrlanuvchidan xakerga jabrlanuvchining akkauntiga darhol kirish imkonini beruvchi kodni yuborish so'raladi.."
Dastur ta'minoti ham muammo bo'lishi mumkin. "Qurilmadagi zaifliklar tufayli TIV foydalanuvchiga bexabar boʻlgan oqish ilovasi yoki buzilgan qurilma tomonidan tinglanishi mumkin", dedi Jorj Friman, LexisNexis Risk Solutions hukumat guruhining yechimlar boʻyicha maslahatchisi elektron pochta orqali bergan intervyusida.
Telefoningizni hali ham tashlamang
Biroq, matnga asoslangan TIV hech narsadan yaxshiroq, deydi ekspertlar. "TIV - foydalanuvchi o'z hisoblarini himoya qilish uchun eng kuchli vositalardan biri", dedi Mark Nunnixoven, kiberxavfsizlik bo'yicha Trend Micro kompaniyasining bulutli tadqiqotlar bo'yicha vitse-prezidenti elektron pochta orqali bergan intervyusida.
"Uni iloji boricha yoqish kerak. Agar tanlovingiz bo'lsa, smartfoningizda autentifikatsiya ilovasidan foydalaning, lekin oxirida TIV istalgan shaklda yoqilganligiga ishonch hosil qiling."
Xavfsizlikni oshirishning oddiy va arzon usuli bu telefoningizda autentifikatsiya ilovasidan foydalanish, dedi Expert Computer Solutions IT kompaniyasi asoschisi va bosh direktori Piter Robert elektron pochta orqali bergan intervyusida.
“Agar sizda byudjet boʻlsa va xavfsizlikni muhim deb hisoblasangiz, men sizni apparatga asoslangan TIV kalitlarini baholashingizni tavsiya qilaman,” deya qoʻshimcha qildi u. “Xavfsizlik haqida qaygʻurayotgan biznes va jismoniy shaxslar uchun men qorongʻu vebni ham tavsiya qilaman. Siz haqingizda shaxsiy maʼlumotlar mavjudligi va qorongʻu internetda sotilishi yoki sotilmasligini bildirish uchun monitoring xizmati."
Mission Impossible uslubidagi yondashuv uchun Webauthn bilan yangi standart FIDO2 biometrik autentifikatsiyadan foydalanadi, deydi Freeman. "Foydalanuvchi moliyaviy saytga ulanadi, foydalanuvchi nomini kiritadi, veb-sayt [foydalanuvchining] mobil qurilmasi, [telefon]dagi xavfsiz ilovasi bilan bog‘lanadi, so‘ngra foydalanuvchidan [uning] yuz identifikatori yoki barmoq izini so‘raydi. Muvaffaqiyatli bo‘lsa, u autentifikatsiya qiladi. veb-sessiya”, dedi u.
Koʻplab mumkin boʻlgan tahdidlar bilan shaxsiy maʼlumotlarni saqlaydigan veb-saytlarga kirishning xavfsizroq usullarini izlashni boshlash vaqti keldi. Xakerlar internetda shunchaki parolingizni o‘g‘irlashni kutayotgan bo‘lishi mumkin.
