▾ G11 Media: | ChannelCity | ImpresaCity | SecurityOpenLab | Italian Channel Awards | Italian Project Awards | Italian Security Awards | ...

Microsoft: sì all'autenticazione multi-fattore, senza SMS

Le app sono le migliori per un'autenticazione multi-fattore davvero sicura. Gli SMS sono troppo facili da intercettare.

Business Consumer
Le frodi e i cyber attacchi si stanno moltiplicando, complice la crisi pandemica e l'incremento di tutte le attività online. Come noto i cyber criminali hanno visto nell'accelerazione digitale delle grandi opportunità di guadagno. Sono gli account ad essere particolarmente appetibili, per questo Microsoft caldeggia da tempo di adottare l'autenticazione a più fattori.

A patto che venga fatta con le app apposite, non con gli SMS. A dirlo è Alex Weinert, Direttore della Identity Security di Microsoft. Weinert è un fermo sostenitore dell'autenticazione multi-fattore, da tempo esorta tutti gli utenti ad adottare questa tecnica per difendere meglio gli account online. 

I numeri gli danno ragione: stando alle statistiche di Microsoft, lo scorso anno gli utenti che hanno abilitato l'autenticazione a più fattori hanno bloccato circa il 99,9% degli attacchi. Tuttavia le soluzioni per attivare questo controllo sono molte: ci sono gli SMS, oppure le app authenticator. 

Potendo scegliere, queste ultime sono migliori perché gli SMS sono trasmessi in testo non crittografato, quindi possono essere intercettati dagli attaccanti. A supporto di questa tesi Weinert cita diversi problemi di sicurezza noti ai danni delle reti telefoniche.
credsniper
Non solo. I codici spediti via SMS possono anche essere oggetto di phishing e smishing. A questo proposito ci sono codici open source prontamente disponibili come Modlishka, CredSniper o Evilginx. Modlishka è un reverse proxy che può catturare in tempo reale i codici dei sistemi di autenticazione multi-fattore. 

CredSniper visualizza una grafica identica a quella della pagina in cui inserire il codice di autenticazione spedito via SMS. Così facendo il criminale può procedere spedito con l'azione illegale. Evilginx è infine un framework di attacco man-in-the-middle utilizzato per il phishing delle credenziali di accesso, che consente di aggirare la protezione dell'autenticazione a due fattori.

Non ultimo, è da ricordare la pioggia di richieste ai gestori telefonici per lo scambio SIM: è una frode in cui i cyber criminali chiedono di trasferire sulla propria SIM il numero di una vittima. Così facendo possono vedere tutti i codici MFA e autorizzare senza problemi le transazioni fraudolente.

Tutti problemi aggirabili con l'impiego di applicazioni per l'autenticazione.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.
Rimani sempre aggiornato, seguici su Google News! Seguici

Notizie correlate

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter