Artikel top billede

Microsoft advarer: Drop sms og telefonbeskeder til flerfaktorgodkendelse

Sms og talebeskeder via telefonnettet som en del af flerfaktor-beskyttelse er en skidt ide, advarer Microsoft. Teknikken er for usikker, og det er for let at for phishing-angribere at omgå beskyttelsen.

Adobe og PayPal er blandt de it-giganter, som bruger sms’er som en del af en flerfaktorbeskyttelse til deres tjenester. Men den teknik dur bare ikke, lyder det nu fra Microsofts chef for indentitetssikkerhed, Alex Weinert.

I et blogindlæg skriver han, at sms’er og telefonbeskeder over det almindelige telenet er for risikabel en metode, for eksempelvis phishing-angribere kan opsnappe dem.

Desuden kan teknikken ikke tilpasses forskellige brugertyper, og derfor står det klar, at der er grænser for, hvor meget metoden kan forbedres.

Han fremhæver, at angribere eksempelvis kan bruge software, som opsnapper sms’er.

Angribere kan også udnytte det faktum, at sms’er nogen gange ikke når frem til modtageren, og at der af og til er forsinkelser i systemet.

Et andet problem er, at mange af systemerne understøttes af online-konti og kundeservice-medarbejdere, hvoraf sidstnævnte er mulige ofre for bestikkelse, trusler, afpresning og alt muligt andet.

It-branchen bør i stedet gå over til app-baseret godkendelsesprocedure som eksempelvis Microsoft Authenticator, mener han.