Microsoft, kullanıcıları telefon tabanlı çok faktörlü kimlik doğrulama (MFA) tahlillerini bırakmaya çağırıyor. Şirket tek kullanımlık SMS kodları ve sesli aramalar yerine, fizikî güvenlik anahtarı veya uygulama tabanlı kimlik doğrulayıcılar üzere daha inançlı MFA tekniklerinin tercih edilmesi görüşünde.
Microsoft bilgi güvenliği departmanı lideri Alex Weinert bu bahisle ilgili bir blog yazısı kaleme aldı. Tecrübeli yönetici kullanıcıların birkaç MFA tahlili ortasında seçim yapmaları gerektiğinde, telefon üzerinden çok faktörlü kimlik doğrulamayı elemelerinin yerinde bir hareket olacağını söyledi.
Tek kullanımlık kodlar kolaylıkla ele geçirilebilir
Alex Weinert, SMS ve sesli aramaların rastgele bir şifreleme olmadan açık bir formda iletildiğini, böylelikle çeşitli formüller kullanılarak kolaylıkla ele geçirilebileceğini belirtti. Tek kullanımlık SMS kodları bilgisayar korsanları tarafından mevcut kimlik avı araçları kullanılarak hacklenebiliyor.
Buna ek olarak taşınabilir şebekelerde, kullanıcıların acil durumlarda kimlik doğrulaması yapmasını engelleyebilecek kimi performans sıkıntıları (çekmeme gibi) meydana gelebilir. Alex Weinert’e nazaran tüm bunlar “tek kullanımlık SMS kodları ve sesli aramalara dayalı çok faktörlü kimlik doğrulamayı en az inançlı MFA çözümü” yapıyor.
Microsoft yöneticisi tüm kullanıcılara, şahsî hesapları için daha güçlü çok faktörlü kimlik doğrulama düzenekleri kullanmalarını tavsiye etti. Weinert bilhassa “bu tarafta âlâ bir başlangıç noktası olarak” gördüğü Microsoft Authenticator uygulamasının kullanılmasını öneriyor.
Kaynak: Donanimhaber