تنصح شركة مايكروسوفت المستخدمين بالتخلي عن حلول المصادقة الثنائية المستندة إلى الهاتف (MFA)، التي تتيح الحصول على رموز الأمان عبر الرسائل القصيرة (SMS)، والمكالمات الصوتية؛ لأنها هي الخيار الأقل أمانًا حاليًا.
جاء هذا التحذير من (أليكس وينرت) Alex Weinert مدير أمان الهوية في مايكروسوفت، حيث أشار إلى أن كلمات المرور لم تعد وسيلة فعّالة لمنع اختراق الحسابات، كما أن حلول المصادقة المستندة إلى الهاتف توفر طبقة إضافية من الحماية، لكنها ليست مضمونة.
لماذا أصبحت حلول المصادقة الثنائية المستندة إلى الهاتف أقل أمانًا؟
أكد (أليكس وينرت) أن استخدام أي شكل من أشكال المصادقة الثنائية أفضل من الاعتماد فقط على كلمة المرور لتأمين الحسابات؛ لأنها خطوة تزيد بشكل كبير من تكاليف القراصنة الذين يحاولون اختراق حسابك، وهذا هو السبب في أن معدل اختراق الحسابات التي تستخدم أي نوع من أنواع المصادقة أقل بكثير من الحسابات التي تعتمد على كلمات المرور فقط.
قال (أليكس) في منشور العام الماضي: “إن المستخدمين الذين فعّلوا ميزة المصادقة الثنائية (MFA) في حساباتهم تجنبوا نحو 99.9% من الهجمات الآلية التي استهدفت حسابات مايكروسوفت الخاصة بهم”.
لكنه أكد في تقرير حديث أن تسليم رموز المصادقة عبر شبكات الهاتف العامة (PSTN) هو الأقل أمانًا من بين أساليب المصادقة الثنائية المتاحة، للأسباب التالية:
- أنظمة شبكات الهواتف العامة (PSTN) ليست موثوقة بنسبة 100%، مما يعني أن الرسالة أو المكالمة قد لا تأتي عند الحاجة.
- يمكن للقراصنة إعادة توجيه الرسائل النصية القصيرة أو المكالمات الهاتفية بسهولة إلى رقم آخر عن طريق خداع موظفي خدمة دعم العملاء في شركات الاتصالات لتحويل أرقام الهواتف إلى بطاقة SIM أخرى، وهي هجمات تُعرف باسم (SIM swap)، أو (SIM splitting)، مما يسمح للقراصنة بتلقي رموز المصادقة نيابة عن المستخدمين.
- صُممت الرسائل القصيرة والمكالمات الهاتفية بدون تشفير، ويمكن للقراصنة اعتراضها بسهولة.