Multi-Factor Authentication: nuove modalità di autenticazione ancora più sicure

Microsoft esorta gli utenti a smettere di utilizzare l'autenticazione a più fattori basata su chiamate e SMS, consigliando l’utilizzo di autenticatori basati su app e chiavi di sicurezza

In questo articolo scopriremo perché Microsoft sta spingendo gli utenti ad abbandonare le soluzioni di autenticazione multifattoriale (MFA) basate sul telefono, come i codici monouso inviati tramite SMS e le chiamate vocali.

L’avvertimento arriva da Alex Weinert, direttore dell’Identity Security di Microsoft. Citando le statistiche interne di Microsoft, Weinert ha affermato che nel corso del 2020 gli utenti che hanno abilitato l’autenticazione a più fattori (MFA) hanno bloccato circa il 99,9 % degli attacchi automatici contro i propri account.

Di recente però, ha affermato che tra le diverse soluzioni di MFA quelle che utilizzano il telefono sono le meno sicure.

Il dirigente Microsoft ha citato diversi problemi di sicurezza noti, che non hanno nulla a che vedere con la Multi-Factor Authentication, ma con lo stato delle reti telefoniche.

Weinert ha sottolineato che sia gli SMS che le chiamate vocali vengono trasmessi in chiaro e possono essere facilmente intercettati da determinati aggressori, utilizzando tecniche e strumenti come celle FEMTO o servizi di intercettazione SS7.

I codici monouso basati su SMS sono anche modificabili tramite strumenti di phishing open source come Modlishka , CredSniper o Evilginx.

Inoltre, i dipendenti della rete telefonica possono essere indotti a trasferire i numeri di telefono alla scheda SIM di un hacker (attacchi noti come SIM swapping) consentendo agli aggressori di ricevere codici monouso MFA per conto delle loro vittime.

Le reti telefoniche sono anche esposte a normative in evoluzione, tempi di inattività e problemi di prestazioni, che influiscono sulla disponibilità del meccanismo MFA in generale, che, a sua volta, impedisce agli utenti di autenticarsi sul proprio account nei momenti di urgenza.

Gli SMS e le chiamate vocali sono oggi il metodo MFA meno sicuro

Quanto detto sopra, rende gli SMS e le chiamate il metodo meno sicuro di autenticazione, secondo Weinert. Il dirigente di Microsoft ritiene che questo divario tra SMS e chiamate “non farà che aumentare” in futuro.

Man mano che l’adozione di MFA aumenterà, con un maggior numero di utenti che la adotteranno per i propri account, gli aggressori diventeranno sempre più interessati a violare questi metodi. SMS e chiamate diventeranno inevitabilmente il loro obiettivo principale a causa della loro ampia adozione.

Per gli utenti che intendono tenere al sicuro i propri account, la soluzione su cui virare è di sicuro la chiave di sicurezza hardware (TOKEN), che Weinert ha classificato come la migliore soluzione MFA.

Le informazioni presenti in questo post, sono prese dall’articolo: Microsoft urges users to stop using call & SMS-based multi-factor authentication