SUSE by Ingram

Microsoft แนะให้ใช้ Factor อื่นแทน SMS หรือ Voice Call เพื่อยืนยันตัวตนแบบ MFA

Microsoft แนะให้ผู้ใช้งานที่เปิดใช้ Multi-factor Authentication (MFA) หาทางใช้ปัจจัยอื่นที่ดีกว่า SMS ทางโทรศัพท์หรือ Voice Call

Credit: ShutterStock.com

มีผลวิจัยยืนยันแล้วว่า MFA สามารถช่วยให้บัญชีของผู้ใช้งานปลอดภัยในการโจมตีแบบอัตโนมัติได้ถึง 99.9% ดังนั้นหลายปีที่ผ่านมาจึงมีการเตือนกึ่งบังคับให้ผู้มีบัญชีออนไลน์ต่างๆ เปิดใช้งานฟีเจอร์นี้

ประเด็นก็คือการยืนยันตัวตนผ่าน SMS ของมือถือและ Voice Call นั้นไม่ได้ปลอดภัยอย่างที่คิด โดย Alex Weinert ผู้อำนวยการฝ่าย Identity Security ของ Microsoft ชี้แจงประเด็นไว้ดังนี้

  • การส่ง SMS และการยืนยันด้วยเสียงบนเครือข่ายมือถือถูกส่งผ่าน Cleartext จึงสามารถถูกดักจับได้โดยง่ายด้วยเทคโนโลยีเช่น SD-Radio, FEMTO Cells หรือ SS7 
  • OTP บน SMS สามารถถูกหลอกได้ด้วยเครื่องมือโอเพ่นซอร์สเช่น Modlishka, CredSniper หรือ Evilginx
  • พนักงานของผู้ให้บริการเองก็ยังสามารถถูกหลอกให้ทำบางอย่างได้ด้วยวิธีการเช่น Sim Swapping
  • เมื่อเครือข่ายโทรศัพท์เกิดปัญหา การรับข้อมูลอาจไม่ทันการในเวลาที่กำหนด

จากเหตุผลทั้งหมดที่กล่าวมาแล้วจะเห็นได้ว่าวิธีการยืนยันตัวตนผ่าน SMS หรือ Voice Call ดูปลอดภัยน้อยที่สุด และเมื่อมีการใช้งาน MFA มากขึ้น คนร้ายก็จะมองหาช่องทางนี้แน่นอน ดังนั้นเบื้องต้นผู้ใช้ควรไปใช้แอปพลิเคชัน Authenticator หรือถ้าต้องการความปลอดภัยสูงขึ้นให้หา Hardware Security Key มาใช้กัน

ที่มา : https://www.zdnet.com/article/microsoft-urges-users-to-stop-using-phone-based-multi-factor-authentication/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

[Guest Post] Pure Storage ได้รับเลือกให้เป็นผู้นำในตลาด Enterprise Flash Array Storage

กรุงเทพฯ, ประเทศไทย – 21 มกราคม 2020 – Pure Storage (NYSE: PSTG) ผู้บุกเบิกทางด้าน IT ที่นำเสนอบริการ Storage …

CSA ออก Cloud Controls Matrix v4 เพิ่มมาตรการควบคุมกว่า 60 รายการ

Cloud Security Alliance (CSA) องค์กรไม่แสวงหาผลกำไรที่มุ่งเน้นการให้ความรู้ การรับรอง แนวทางปฏิบัติที่ดีที่สุด และงานวิจัยทางด้านความมั่นคงปลอดภัยระบบ Cloud ประกาศเปิดตัว Cloud Controls Matrix (CCM) เวอร์ชัน …