Microsoft met en garde contre l'authentification à deux facteurs par téléphone ... voici la solution
Microsoft conseille aux utilisateurs de renoncer aux solutions d'authentification à deux facteurs (MFA) basées sur le téléphone, qui permettent d'obtenir des codes de sécurité via SMS et appels vocaux; Parce que c'est l'option actuellement la moins sûre.
Cet avertissement est venu d'Alex Weinert, directeur de la sécurité d'identité chez Microsoft, où il a indiqué que les mots de passe ne sont plus un moyen efficace de prévenir les violations de compte et que les solutions d'authentification par téléphone offrent une couche de protection supplémentaire, mais elles ne sont pas garanties.
Pourquoi les solutions d'authentification à deux facteurs par téléphone deviennent-elles moins sécurisées?
(Alex Weinert) a souligné que l'utilisation de toute forme d'authentification à deux facteurs est meilleure que de se fier uniquement à un mot de passe pour sécuriser les comptes; Parce que c'est une étape qui augmente considérablement les coûts des pirates qui tentent de pirater votre compte, c'est pourquoi les comptes qui utilisent n'importe quel type d'authentification ont un taux de pénétration beaucoup plus faible que les comptes qui ne reposent que sur des mots de passe.
(Alex) a déclaré dans un article de l'année dernière: "Les utilisateurs qui ont activé la fonction d'authentification à deux facteurs (MFA) sur leurs comptes ont évité environ 99,9% des attaques robotiques qui ciblaient leurs comptes Microsoft."
Cependant, dans un rapport récent, il a souligné que la distribution de jetons d'authentification sur les réseaux téléphoniques publics (RTPC) est la moins sûre des méthodes d'authentification à deux facteurs disponibles, pour les raisons suivantes:
• Les systèmes de réseau téléphonique public (RTPC) ne sont pas fiables à 100%, ce qui signifie qu'un message ou un appel peut ne pas arriver en cas de besoin.
Les pirates peuvent facilement rediriger les SMS ou les appels téléphoniques vers un autre numéro en incitant le personnel de support client des entreprises de télécommunications à transférer des numéros de téléphone vers une autre carte SIM, des attaques appelées échange de carte SIM ou fractionnement de la carte SIM, ce qui permet Les pirates reçoivent des codes d'authentification au nom des utilisateurs.
Les SMS et les appels téléphoniques sont conçus sans cryptage et peuvent être facilement interceptés par les pirates.
Il est à noter que (Jack Dorsey), fondateur et PDG de Twitter, a été exposé à un piratage de la carte SIM en août 2019, car des pirates ont utilisé le processus frauduleux (partage de la carte SIM) pour accéder à son numéro de téléphone, ce qui leur a permis de créer des tweets par SMS et de les envoyer du numéro à son compte. Sur Twitter.
Quelle est la meilleure solution maintenant?
L'authentification à deux facteurs est l'un des facteurs de sécurité les plus importants actuellement disponibles pour sécuriser les comptes, son importance n'est donc pas actuellement contestée, mais avec le nombre croissant d'utilisateurs, les pirates vont essayer de trouver de nouvelles façons d'obtenir les codes d'authentification à usage unique requis.
Donc (Alex Wintert) conseille aux utilisateurs de renoncer aux solutions d'authentification par téléphone et de commencer à utiliser l'authentification basée sur l'application, et recommande bien sûr l'application Microsoft Authenticator.
Il existe également d'autres applications qui offrent la même fonction, notamment: l'application (Google Authenticator) qui vous fournit des codes pour confirmer votre identité auxquels le hacker a du mal à accéder; Parce qu'il doit réellement atteindre votre téléphone
Mais le cas idéal est toujours l'utilisation de l'une des clés de sécurité physiques, car vous n'aurez pas besoin d'utiliser un code pour vérifier votre identité, car ces appareils prennent souvent la forme d'un périphérique USB utilisé dans le processus d'authentification, et cela est considéré comme meilleur que d'utiliser un logiciel basé sur le système d'exploitation qui peut être utilisé pour pénétrer vos comptes en cas de perte. ton téléphone. Cependant, avec la clé de sécurité, le pirate informatique devra d'abord la voler pour accéder à votre compte.