Microsoft sẽ bỏ SMS và xác thực đa yếu tố bằng giọng nói

608

Microsoft đang cảnh báo các doanh nghiệp không nên sử dụng hệ thống xác thực đa yếu tố (MFA) dựa vào giọng nói và SMS do lo ngại về vấn đề bảo mật. 

Microsoft bỏ xác thực đa yếu tố (MFA) dựa vào giọng nói và SMS do lo ngại về vấn đề bảo mật
Microsoft bỏ xác thực đa yếu tố (MFA) dựa vào giọng nói và SMS do lo ngại về vấn đề bảo mật

Trong một bài đăng trên blog, giám đốc bảo mật danh tính Alex Weinert của Microsoft đưa ra một loạt lý do tại sao các doanh nghiệp nên tránh SMS và xác thực đa yếu tố (MFA) dựa vào giọng nói.

Weinert viết: “Các cơ chế này dựa trên các mạng điện thoại chuyển mạch công cộng (PSTN) và tôi tin rằng chúng kém an toàn nhất trong số các phương pháp MFA hiện có. “Khoảng cách đó sẽ chỉ mở rộng khi việc áp dụng MFA làm tăng sự quan tâm của những kẻ tấn công vào việc phá vỡ các phương pháp này và các trình xác thực được xây dựng có mục đích mở rộng lợi thế bảo mật và khả năng sử dụng của chúng.”

Thiếu mã hóa 

Điều đặc biệt có vấn đề với SMS và MFA dựa trên giọng nói là chúng không sử dụng mã hóa, khiến tin tặc dễ dàng đánh chặn chúng, theo Weinert. 

“Từ góc độ khả năng sử dụng thực tế, chúng tôi không thể phủ mã hóa lên các giao thức này bởi vì người dùng sẽ không thể đọc chúng.”

“Điều này có nghĩa là tín hiệu có thể bị chặn bởi bất kỳ ai có thể truy cập vào mạng chuyển mạch hoặc trong phạm vi vô tuyến của một thiết bị.”

Tấn công phi kỹ thuật

Weinert cũng tin rằng SMS và MFA dựa trên giọng nói dễ bị tác động bởi các hành động tấn công phi kỹ thuật hơn. Đặc biệt, ông nói rằng các nhân viên hỗ trợ khách hàng “dễ bị quyến rũ, ép buộc, hối lộ hoặc tống tiền”. Với những chiến thuật đó, thủ phạm có thể lừa các đại diện hỗ trợ khách hàng cung cấp “quyền truy cập vào kênh SMS hoặc kênh thoại”.

Weinert cho biết thêm, “Trong khi các cuộc tấn công phi kỹ thuật cũng ảnh hưởng đến hệ thống email, các hệ thống email chính (ví dụ: Outlook, Gmail) có tiềm lực phát triển hơn để ngăn chặn sự xâm nhập tài khoản thông qua hệ sinh thái hỗ trợ của chúng. Điều này dẫn đến tất cả khả năng, từ đánh chặn tin nhắn, tấn công chuyển tiếp cuộc gọi, cho đến hack SIM ”.

Vấn đề hiệu năng 

Một vấn đề khác là các hệ thống này có thể bị ảnh hưởng bởi hiệu suất của nhà cung cấp dịch vụ di động, Weinert giải thích rằng chúng “không đáng tin cậy 100% và báo cáo không nhất quán 100%”.

Ông cũng chỉ ra rằng các quy định ngày càng phát triển khiến những kỹ thuật này trở nên thách thức. “Do sự gia tăng của thư rác trong các định dạng SMS, các nhà quản lý đã yêu cầu các quy định về nhận dạng mã, tốc độ truyền, nội dung tin nhắn, quyền gửi và phản hồi các tin nhắn.”

“Tuy nhiên, thật không may, những quy định này thay đổi nhanh chóng và không nhất quán giữa các khu vực và có thể dẫn đến việc ngừng gửi mã xác thực lớn. Sự cố bị gián đoạn nhiều hơn, sự thất vọng của người dùng cũng sẽ lớn hơn”.

Đe dọa lừa đảo

Hơn nữa, việc thiếu ngữ cảnh trong giao tiếp SMS và GSM khiến lừa đảo trở thành mối đe dọa lớn hơn đối với những người sử dụng các loại MFA này. 

Weinert nói, “Về mặt thực tế, phương tiện văn bản hoặc giọng nói giới hạn lượng thông tin có thể được truyền đạt đến người dùng – SMS mang 160 ký tự, 70 ký tự nếu không sử dụng GSM.”

“Lừa đảo là một mối đe dọa nghiêm trọng và chúng tôi muốn trao quyền cho người dùng càng nhiều ngữ cảnh càng tốt (hoặc, sử dụng Windows Hello hoặc FIDO, khiến cho việc lừa đảo không thể xảy ra) – Các định dạng SMS và giọng nói hạn chế khả năng của chúng tôi trong việc cung cấp ngữ cảnh để xác thực đang được yêu cầu. ”

Jake Moore, một chuyên gia bảo mật tại ESET, tin rằng MFA dựa trên SMS không an toàn như khóa bảo mật vật lý hoặc mã thông báo dựa trên ứng dụng. 

Ông nói rằng: “Tin nhắn SMS rất dễ bị tấn công vì chúng không được mã hóa và có nguy cơ bị tấn công hoán đổi SIM. Tuy nhiên, nếu đây là lựa chọn duy nhất, thì vẫn tốt hơn là không có thêm bất kỳ xác minh nào ”.

Kết luận

SMS và xác thực đa yếu tố bằng giọng nói mang đến nhiều vấn đề về bảo mật. Hiện nay bạn phải sử dụng rất nhiều phần mềm, ứng dụng được bảo mật theo phương thức này. Để đảm bảo an toàn cho mình, hãy sử dụng các tính năng bảo mật trong chính ứng dụng của mình như mã thông báo dựa trên ứng dụng hoặc khóa bảo mật vật lý. Là một khách hàng của Microsoft đừng bỏ qua Kích hoạt xác thực đa yếu tố với nhiều hình thức khác của Microsoft để bảo vệ máy tính của bạn.

Bình luận