Многофакторната автентикация (MFA) е процес, при който достъпът до информационен ресурс минава през две или повече нива на сигурност вместо едно.
Традиционната защита на една информационна система е едностепенна. Тя разчита на парола или PIN код, за да ограничи достъпа до нея. Това означава, че ако някой знае паролата, той може да проникне в системата.
MFA добавя допълнителен слой защита. При нея е необходимо освен въвеждане на парола да се въведе и допълнителен код за сигурност. Този код се генерира на момента и може да бъде използван само веднъж. Така рискът някой друг да злоупотреби с паролата ви за достъп намалява значително.
Статистиката на Microsoft потвърждава ползите
Потребителите, които са активирали MFA, са блокирали около 99,9% от автоматизираните атаки срещу техните акаунти в Microsoft.
Най-популярни са MFA технологиите, базирани на телефон – еднократните кодове се изпращат чрез SMS или гласови повиквания. При този вид комуникация обаче се използва некриптирана връзка.
Затова Microsoft съветва потребителите да използват многофакторна автентикация, базирана на приложения и ключове за сигурност (security keys). В този случай допълнителният код се генерира от софтуер или хардуер.
Проблемът не е в сигурността на MFA, а в тази на телефонните мрежи
Когато зададете да получавате еднократните кодове за защита на вашия телефон, може да бъдете изложени на риск:
- SMS и гласовите повиквания могат да бъдат прихванати от хакери чрез софтуерно дефинирани радиостанции, FEMTO клетки или SS7 атаки
- Самите кодове за сигурност могат да бъдат хакнати чрез отворен код и фишинг инструменти
- Служители на телефонната компания, която ви обслужва, могат да бъдат подмамени да прехвърлят вашия телефонен номер към SIM картата на хакера (атаката се нарича „размяна на SIM“). Така киберпрестъпниците ще получават еднократните кодове за сигурност от ваше име
Препоръки:
- Задължително използвайте MFA за защита на своите акаунти
- По възможност използвайте MFA технологии базирани на приложения и ключове за сигурност (Microsoft Authenticator, Google Authenticator и др.)
- В никакъв случай не деактивирайте наличните SMS или гласово базирани MFA за своите акаунти – SMS MFA е много по-добър от липсата на MFA!