为什么基于电话的身份验证可能是不安全的

为了保持安全的黑客，停止使用基于电话的多因素身份验证（MFA）代码通过短信和语音呼叫，在一个新的分析中写道。

Microsoft身份安全主任Alex Weinert拦截电话代码很容易受到黑客拦截的，写在A中最近的博客文章。观察者说，基于文本的代码比没有好。但用户应该用应用程序和安全键替换基于电话的身份验证。

“这些机制基于公开交换电话网络（PSTN），我认为他们最不安全是今天可用的MFA方法，”他写道。

“这种差距只会随着MFA采用而扩大，提高攻击者对破坏这些方法的兴趣，目的地的认证器延长了他们的安全性和可用性优势。将您的移动到无密码强大的Auth现在 - Authenticator应用程序提供即时和不断发展的选择。”

MFA是一种安全方法，其中仅在成功向身份验证机制呈现两个或更多个证据后，计算机用户才能访问网站或应用程序。这些代码通常通过电话发送。

黑客假装成为你

观察者说，有黑客可以访问电话代码的方法。在某些情况下，手机公司已被欺骗转移到传输电话号码，以允许黑客获取代码。

“电话是如此不安全，用户经常将骗局呼叫从第三世界国家呼叫排队，同时显示美国区域电话号码，”马修罗杰斯，Ciso云提供商语法，在电子邮件采访中说。“电话也会受到SIM交换攻击的影响，这可以通过短信轻松绕过MFA。”

最近，流行的BBC Radio Host Jeremy Vine受到了攻击的侵害，导致他的WhatsApp账户被渗透。

“成功欺骗vine的攻击从收到一个看似未经请求的短信消息，其中包含两个因子认证码到他们的帐户，”雷沃尔什，数据隐私专家隐私审查网站贪得取报，在电子邮件采访中说。

“之后，受害者从宣称宣称的联系人直接留言通过意外地向他们发送了代码。最后，受害者被要求将黑客转发代码，这使他们即时访问受害者的帐户。”

软件也可能是一个问题。“由于设备漏洞，MFA可能会被泄漏的应用程序窃听，或者在政府集团的解决方案顾问乔治·弗里曼的解决方案顾问lexisnexis风险解决方案，在电子邮件采访中说。

不要放弃你的手机

然而，专家说，基于文本的MFA总比没有好。“MFA是用户必须保护其账户的最强大的工具之一，”云研究副总裁Mark Nunnikhoven Mark Nunnikhoven网络安全公司趋势科技，在电子邮件采访中说。

“应该尽可能启用它。如果您可以选择，请在智能手机上使用身份验证应用程序 - 但最终，请确保以任何形式启用MFA。”

一种简单，低成本的方式来提高安全性是在手机上使用Authenticator应用程序，Peter Robert，联合创始人和首席执行官IT公司专家计算机解决方案，在电子邮件采访中说。

“如果您有预算并考虑安全性，我会鼓励您评估基于硬件的MFA键，”他补充道。“对于担心安全的企业和个人，我还建议一个黑暗的网络监控服务让您知道是否有关您的个人信息，并在黑色网络上销售。“

有更多.不可能完成的任务-Style方法，新标准Fido2与webauthn.弗里曼说，使用生物识别认证。"The user connects to a financial site, enters a username, the website contacts [the] user’s mobile device, a secure app on [the] phone then prompts the user for [their] facial ID or fingerprint. When successful, it then authenticates the web session," he said.

有了这么多可能的威胁，可能是时候开始寻找更安全的方式登录存储个人信息的网站。在Web上仍然等待拦截密码，黑客可能会潜伏。