Microsoft mendesak pengguna untuk berhenti menggunakan otentikasi multi-faktor berbasis telepon

Microsoft mendesak pengguna untuk berhenti menggunakan otentikasi multi-faktor berbasis telepon

Peringatan tersebut datang dari Alex Weinert, direktur keamanan identitas Microsoft. Selama setahun terakhir, Weinert telah mengadvokasi Microsoft atas nama Microsoft, mendesak pengguna untuk mengadopsi dan mengaktifkan MFA untuk akun online mereka.

Mengutip statistik internal Microsoft, Weinert mengatakan dalam sebuah posting blog tahun lalu bahwa pengguna yang mengaktifkan otentikasi multi-faktor (MFA) akhirnya memblokir sekitar 99,9% serangan otomatis terhadap akun Microsoft mereka. Tetapi dalam posting blog tindak lanjut hari ini, Weinert mengatakan bahwa jika pengguna memilih di antara beberapa solusi MFA, mereka harus menjauh dari MFA berbasis telepon.

Eksekutif Microsoft mengutip beberapa masalah keamanan yang diketahui, bukan dengan MFA, tetapi dengan keadaan jaringan telepon saat ini. Weinert mengatakan bahwa baik SMS dan panggilan suara dikirim dalam teks yang jelas dan dapat dengan mudah disadap oleh penyerang tertentu, menggunakan teknologi dan alat seperti radio yang ditentukan perangkat lunak, sel FEMTO, atau layanan intersepsi SS7.

BACA JUGA :  Microsoft Akan Umumkan Harga Office 2021 dan Sejumlah Fitur

Kode SMS satu kali juga dapat ditipu melalui sumber terbuka dan alat phishing yang tersedia seperti Modlishka, CredSniper atau Evilginx. Selain itu, karyawan jaringan telepon dapat ditipu untuk mentransfer nomor telepon ke kartu SIM pelaku – dalam serangan yang dikenal sebagai pertukaran SIM -, yang memungkinkan penyerang menerima kode MFA satu kali atas nama korbannya.

Selain itu, jaringan telepon juga terkena perubahan peraturan, waktu henti, dan masalah kinerja, yang semuanya mempengaruhi ketersediaan MFA secara keseluruhan, yang pada gilirannya mencegah pengguna mengautentikasi akun mereka pada saat-saat mendesak.

BACA JUGA :  Angka Kinerja Snapdragon 875 Baru Menunjukkan Kemajuan Keseluruhan Selama A14 Bionic, Snapdragon 865 Plus Dan Banyak Lagi

SMS dan panggilan suara adalah metode MFA yang paling tidak aman saat ini

Semua ini membuat SMS dan MFA berbasis panggilan “metode MFA paling tidak aman yang tersedia saat ini,” menurut Weinert. Eksekutif Microsoft yakin kesenjangan antara SMS dan beberapa instruksi berbasis suara ini akan “melebar” di masa depan.

Dengan meningkatnya adopsi MFA secara umum, karena semakin banyak pengguna yang mengadopsi MFA untuk akun mereka, penyerang juga akan menjadi lebih tertarik untuk melanggar taktik MFA, karena SMS dan MFA berbasis suara secara alami menjadi target utama mereka karena adopsi tersebut. Bagus. Weinert mengatakan pengguna harus mengaktifkan mekanisme MFA yang lebih kuat untuk akun mereka, jika tersedia, dan merekomendasikan penerapan Microsoft Authenticator MFA sebagai titik awal yang baik.

BACA JUGA :  Inilah Fitur Baru Windows 11 Yang Tidak Dimiliki Windows 10

Tetapi jika pengguna menginginkan yang terbaik, mereka harus menggunakan kunci keamanan perangkat keras, yang Weinert rangking sebagai solusi MFA terbaik dalam posting blog yang mereka terbitkan tahun lalu.