in

Microsoft: “Telefon tabanlı çok faktörlü kimlik doğrulama uygulamaları güvenli değil”

Microsoft direktöründen çok faktörlü kimlik doğrulama uyarısı
Microsoft direktöründen çok faktörlü kimlik doğrulama uyarısı

Microsoft, çok faktörlü kimlik doğrulama uygulamalarını kullanan kullanıcıları ilgilendiren önemli bir açıklama yaptı. SMS ve sesli arama gibi telefon tabanlı çok faktörlü kimlik doğrulama çözümlerinin yeteri kadar güvenli olmadığını savunan şirket, bunun yerine uygulama tabanlı kimlik doğrulayıcıları ve güvenlik anahtarlarını kullanmaya davet ediyor.

Söz konusu uyarı, Microsoft’un Kimlik Güvenliği Direktörü Alex Weinert’ten geliyor. Weinert, telefon tabanlı kimlik doğrulama işlemleri yerine, daha yeni çok faktörlü kimlik doğrulama teknolojilerinin kullanılması gerektiğine dikkat çekiyor.

Geçtiğimiz yıl paylaştığı bir blog göndersinde Microsoft’un dahili istatistiklerine atıfta bulunan Weinert, çok faktörlü kimlik doğrulamayı etkinleştiren kullanıcıların, Microsoft hesaplarına yönelik olarak yapılan otomatik saldırıların yüzde 99,9’unun engellendiğini dile getirmiş ve bu teknolojinin önemini vurgulamıştı.

Weinert, bugünkü blog gönderisinde ise, birden fazla çok faktörlü kimlik doğrulama seçeneği arasında seçim yapmak durumunda olan kullanıcıların, SMS ve sesli arama gibi telefon tabanlı çok faktörlü kimlik doğrulama uygulamalarından uzak durmaları gerektiğini söylüyor.

Microsoft direktörü, telefon tabanlı çok faktörlü kimlik doğrulama uygulamalarını önermiyor

Microsoft Kimlik Güvenliği Direktörü Alex Weinert, yaptığı açıklamalarda, telefon tabanlı kimlik doğrulama uygulamalarının bazı güvenlik problemleri ile karşı karşıya olduğunu belirtiyor. Buna göre, bu uygulamalar arasında yer alan hem SMS hem de sesli arama, bilgisayar korsanları tarafından, çeşitli araçlar kullanılarak açığa çıkarılabiliyor. Ayrıca SMS tabanlı tek seferlik kodlar, Modlishka , CredSniper veya Evilginx gibi kolayca erişilebilen kimlik avı araçları ile ele geçirilebiliyor.

Aynı şekilde telefon ağı çalışanları, SIM değiştirme olarak da bilinen saldırılarla, telefon numaralarını tehdit aktörünün SIM kartına aktarabiliyor. Bu da saldırganların direkt olarak kurbanlara gelen SMS’leri almasına imkan tanıyor.

Microsoft direktörü, telefon tabanlı çok faktörlü kimlik doğrulamanın karşı karşıya olduğu problemlerin bunlarla da sınırlı olmadığını dile getiriyor. Zira kullanıcılar, telefon ağlarında yaşanan kesintilerden ve değişen yapılardan ötürü bazı sorunlarla karşı karşıya kalabiliyor. Bu da acil durumlarda, kimlik doğrulama işleminin yapılamamasına neden oluyor.

Microsoft Kimlik Güvenliği Direktörü Alex Weinert, tüm bu nedenlerden ötürü SMS ve sesli arama şeklinde gerçekleşen uygulamaların, günümüzdeki en az güvenilir, çok faktörlü doğrulama uygulamaları olduğunu ifade ediyor.