Microsoft: sì all'autenticazione multi-fattore, senza SMS

Le app sono le migliori per un'autenticazione multi-fattore davvero sicura. Gli SMS sono troppo facili da intercettare.

Business Consumer
Le frodi e i cyber attacchi si stanno moltiplicando, complice la crisi pandemica e l'incremento di tutte le attività online. Come noto i cyber criminali hanno visto nell'accelerazione digitale delle grandi opportunità di guadagno. Sono gli account ad essere particolarmente appetibili, per questo Microsoft caldeggia da tempo di adottare l'autenticazione a più fattori.

A patto che venga fatta con le app apposite, non con gli SMS. A dirlo è Alex Weinert, Direttore della Identity Security di Microsoft. Weinert è un fermo sostenitore dell'autenticazione multi-fattore, da tempo esorta tutti gli utenti ad adottare questa tecnica per difendere meglio gli account online. 

I numeri gli danno ragione: stando alle statistiche di Microsoft, lo scorso anno gli utenti che hanno abilitato l'autenticazione a più fattori hanno bloccato circa il 99,9% degli attacchi. Tuttavia le soluzioni per attivare questo controllo sono molte: ci sono gli SMS, oppure le app authenticator. 

Potendo scegliere, queste ultime sono migliori perché gli SMS sono trasmessi in testo non crittografato, quindi possono essere intercettati dagli attaccanti. A supporto di questa tesi Weinert cita diversi problemi di sicurezza noti ai danni delle reti telefoniche.
credsniper
Non solo. I codici spediti via SMS possono anche essere oggetto di phishing e smishing. A questo proposito ci sono codici open source prontamente disponibili come Modlishka, CredSniper o Evilginx. Modlishka è un reverse proxy che può catturare in tempo reale i codici dei sistemi di autenticazione multi-fattore. 

CredSniper visualizza una grafica identica a quella della pagina in cui inserire il codice di autenticazione spedito via SMS. Così facendo il criminale può procedere spedito con l'azione illegale. Evilginx è infine un framework di attacco man-in-the-middle utilizzato per il phishing delle credenziali di accesso, che consente di aggirare la protezione dell'autenticazione a due fattori.

Non ultimo, è da ricordare la pioggia di richieste ai gestori telefonici per lo scambio SIM: è una frode in cui i cyber criminali chiedono di trasferire sulla propria SIM il numero di una vittima. Così facendo possono vedere tutti i codici MFA e autorizzare senza problemi le transazioni fraudolente.

Tutti problemi aggirabili con l'impiego di applicazioni per l'autenticazione.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.

Notizie correlate

Speciali Tutti gli speciali

Speciale

Come custodire al meglio i dati, dal backup in poi

Speciale

L'esigenza di una nuova cyber security

Speciale

Cloud Security: rischi e tecnologie per mettere in sicurezza il cloud

Speciale

Antimalware nel 2020: parola d'ordine Intelligenza Artificiale

Speciale

Sicurezza delle infrastrutture critiche nel 21mo secolo

Calendario Tutto

Dic 03
Dell Technologies Forum Italia 2020
Dic 10
Grande Slam 2020 Digital Edition

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter

contatori