Microsoft แนะให้ใช้ Factor อื่นแทน SMS หรือ Voice Call เพื่อยืนยันตัวตนแบบ MFA

Microsoft แนะให้ผู้ใช้งานที่เปิดใช้ Multi-factor Authentication (MFA) หาทางใช้ปัจจัยอื่นที่ดีกว่า SMS ทางโทรศัพท์หรือ Voice Call

Credit: ShutterStock.com

มีผลวิจัยยืนยันแล้วว่า MFA สามารถช่วยให้บัญชีของผู้ใช้งานปลอดภัยในการโจมตีแบบอัตโนมัติได้ถึง 99.9% ดังนั้นหลายปีที่ผ่านมาจึงมีการเตือนกึ่งบังคับให้ผู้มีบัญชีออนไลน์ต่างๆ เปิดใช้งานฟีเจอร์นี้

ประเด็นก็คือการยืนยันตัวตนผ่าน SMS ของมือถือและ Voice Call นั้นไม่ได้ปลอดภัยอย่างที่คิด โดย Alex Weinert ผู้อำนวยการฝ่าย Identity Security ของ Microsoft ชี้แจงประเด็นไว้ดังนี้

  • การส่ง SMS และการยืนยันด้วยเสียงบนเครือข่ายมือถือถูกส่งผ่าน Cleartext จึงสามารถถูกดักจับได้โดยง่ายด้วยเทคโนโลยีเช่น SD-Radio, FEMTO Cells หรือ SS7 
  • OTP บน SMS สามารถถูกหลอกได้ด้วยเครื่องมือโอเพ่นซอร์สเช่น Modlishka, CredSniper หรือ Evilginx
  • พนักงานของผู้ให้บริการเองก็ยังสามารถถูกหลอกให้ทำบางอย่างได้ด้วยวิธีการเช่น Sim Swapping
  • เมื่อเครือข่ายโทรศัพท์เกิดปัญหา การรับข้อมูลอาจไม่ทันการในเวลาที่กำหนด

จากเหตุผลทั้งหมดที่กล่าวมาแล้วจะเห็นได้ว่าวิธีการยืนยันตัวตนผ่าน SMS หรือ Voice Call ดูปลอดภัยน้อยที่สุด และเมื่อมีการใช้งาน MFA มากขึ้น คนร้ายก็จะมองหาช่องทางนี้แน่นอน ดังนั้นเบื้องต้นผู้ใช้ควรไปใช้แอปพลิเคชัน Authenticator หรือถ้าต้องการความปลอดภัยสูงขึ้นให้หา Hardware Security Key มาใช้กัน

ที่มา : https://www.zdnet.com/article/microsoft-urges-users-to-stop-using-phone-based-multi-factor-authentication/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Google Chrome Enhanced Protection ปกป้องผู้ใช้จากภัยคุกคามออนไลน์ได้กว่า 1 พันล้านรายแล้ว

Google ฉลองก้าวสำคัญ โดยประกาศว่าโหมด Enhanced Protection ใน Chrome ซึ่งใช้ปัญญาประดิษฐ์ (AI) และแมชชีนเลิร์นนิงเพื่อตรวจจับและบล็อกภัยคุกคามออนไลน์แบบเรียลไทม์ ขณะนี้สามารถปกป้องผู้ใช้ได้กว่า 1 พันล้านรายจากฟิชชิงและการหลอกลวงออนไลน์แล้ว

Workday เปิดตัว Agent System of Record ระบบจัดการ AI Agent แบบครบวงจรสำหรับองค์กร

Workday ประกาศเปิดตัวระบบจัดการ AI Agent รูปแบบใหม่ที่ช่วยให้องค์กรสามารถควบคุมและจัดการ AI Agent ทั้งจาก Workday และบริษัทอื่นๆ ได้จากที่เดียว พร้อมเปิดตัว AI Agent ใหม่