Agensi Keselamatan Siber dan Infrastruktur (CISA) telah mengeluarkan amaran nasihat komprehensif kepada pengguna terhadap risiko bergantung pada Perkhidmatan Pesanan Ringkas (SMS) untuk pengesahan berbilang faktor (MFA).
Syor ini membentuk bahagian tengah “Panduan Amalan Terbaik Komunikasi Mudah Alih”CISA baharu, yang bertujuan untuk mengukuhkan keselamatan komunikasi mudah alih, terutamanya untuk individu yang disasarkan oleh sofistikated serangan siber.
Nasihat yang dikeluarkan pada 18 Disember 2024, dibuat di tengah-tengah peningkatan ancaman siber, terutamanya daripada pelakon tajaan kerajaan yang menyasarkan komunikasi sensitif.
“SMS MFA tidak tahan pancingan data dan oleh itu bukan pengesahan yang kukuh untuk akaun individu yang sangat disasarkan,” kata nasihat itu, menggariskan seruan agensi itu untuk alternatif yang lebih selamat seperti protokol pengesahan Fast Identity Online (FIDO).
Berkaitan: Loophole Microsoft MFA yang kritikal Mendedahkan Berjuta-juta Akaun Pengguna
Mengapa SMS MFA adalah Terdedah
MFA berasaskan SMS telah lama menjadi pilihan popular untuk mendapatkan akaun dalam talian kerana kesederhanaan dan penerimaan yang meluas. Walau bagaimanapun, CISA mengenal pasti dua kelemahan utama yang menjadikan SMS MFA tidak mencukupi untuk cabaran keselamatan siber moden.
Pertama, mesej SMS dihantar dalam teks biasa, menjadikannya terdedah kepada pemintasan oleh penyerang yang telah mendapat akses kepada rangkaian telekomunikasi. Kedua, SMS MFA tidak mempunyai rintangan pancingan data, bermakna pelakon ancaman boleh dengan mudah memperdaya pengguna untuk berkongsi kod pengesahan mereka melalui mesej atau tapak web penipuan.
Berkaitan: AWS Debuts Inside Response Service Ditengah-tengah Siber yang Meningkat. Ancaman
Kerentanan ini telah dieksploitasi oleh pelakon tajaan kerajaan, terutamanya yang dikaitkan dengan China. Pelakon sedemikian telah menyasarkan infrastruktur telekomunikasi untuk memintas mesej SMS dan menjejaskan akaun sensitif.
Dalam nasihatnya, CISA memberi amaran bahawa individu berisiko tinggi, seperti pegawai kerajaan dan kakitangan infrastruktur kritikal, amat terdedah kepada bentuk serangan ini.
Peralihan kepada Pengesahan Tahan Phishing
Untuk menangani risiko ini, CISA mengesyorkan peralihan kepada kaedah MFA tahan pancingan data, dengan penekanan yang kuat pada pengesahan FIDO. Protokol FIDO memanfaatkan kunci kriptografi untuk mengesahkan pengguna tanpa menghantar data sensitif melalui rangkaian yang tidak selamat.
Kunci keselamatan berasaskan perkakasan, seperti Yubico atau Google Titan, diserlahkan sebagai yang paling mantap pilihan, walaupun kunci laluan FIDO—kelayakan kriptografi digital—juga dianggap sebagai alternatif yang boleh diterima.
“Setelah mendaftar dalam pengesahan berasaskan FIDO, lumpuhkan bentuk MFA yang lain yang kurang selamat,”nasihat menasihati. Ini memastikan pilihan sandaran, seperti SMS, tidak secara tidak sengaja mewujudkan kelemahan yang boleh dieksploitasi.
Berkaitan: Microsoft Updates Windows 11 API WebAuthn untuk Mendayakan Kunci Laluan Pihak Ketiga
Syor Yang Lebih Luas untuk Keselamatan Mudah Alih
Selain itu untuk menasihati menentang SMS MFA, panduan CISA menyediakan pelbagai amalan terbaik untuk menjamin komunikasi mudah alih ini termasuk menggunakan platform pemesejan yang disulitkan hujung ke hujung, seperti Isyarat, untuk memastikan komunikasi kekal peribadi dan dilindungi
Mengemas kini perisian peranti secara kerap juga penting, kerana kemas kini selalunya termasuk tampung untuk kelemahan yang diketahui. CISA seterusnya mengesyorkan menggunakan pengurus kata laluan untuk menjana dan menyimpan kata laluan unik dengan selamat, dengan itu mengurangkan risiko pencerobohan akaun disebabkan bukti kelayakan yang lemah atau digunakan semula.
Nasihat itu juga memberi amaran terhadap penggunaan rangkaian peribadi maya peribadi (VPN) , menyatakan bahawa mereka boleh mengalihkan kelemahan daripada penyedia perkhidmatan internet kepada penyedia VPN. Sebaliknya, organisasi digalakkan untuk menggunakan penyelesaian gred perusahaan apabila akses VPN diperlukan.
Berkaitan: Perisian Hasad Didorong AI: Cara Apl Palsu dan CAPTCHA Menyasarkan Pengguna Windows dan macOS
Memahami Pengesahan FIDO
Fast Identity Online (FIDO) pengesahan mewakili kemajuan yang ketara dalam keselamatan akaun. Tidak seperti kaedah MFA tradisional, FIDO bergantung pada kriptografi kunci awam untuk mengesahkan pengguna.
Apabila pengguna mendaftarkan peranti, kunci kriptografi peribadi dijana dan disimpan dengan selamat pada peranti, manakala kunci awam yang sepadan disimpan pada pelayan. Semasa log masuk, peranti menandatangani cabaran pelayan menggunakan kunci persendirian, memastikan bahawa maklumat sensitif tidak pernah meninggalkan peranti.
Kaedah ini memberikan perlindungan yang teguh terhadap pancingan data dan serangan manusia-di-tengah, menjadikannya satu alat penting untuk melindungi akaun bernilai tinggi. Dengan menghapuskan keperluan untuk kod yang dihantar, pengesahan FIDO menangani kelemahan teras yang wujud dalam SMS MFA.
Konteks Keselamatan Siber yang Lebih Luas
Panduan CISA adalah sebahagian daripada usaha yang lebih besar untuk menangani ancaman yang semakin meningkat daripada pelakon siber tajaan kerajaan. Dalam tahun-tahun kebelakangan ini, kempen berniat jahat yang menyasarkan infrastruktur telekomunikasi telah meningkat, membolehkan penyerang memintas komunikasi peribadi dan mengeluarkan data sensitif.
Panduan ini secara khusus menyasarkan individu yang mempunyai peranan berisiko tinggi, seperti pegawai kanan kerajaan dan eksekutif korporat, yang sering menjadi tumpuan serangan siber lanjutan ini.
“Individu yang disasarkan tinggi harus menganggap bahawa semua komunikasi antara peranti mudah alih berisiko pemintasan atau manipulasi,”panduan itu memberi amaran. Penilaian yang jelas ini mencerminkan sifat ancaman siber yang semakin berkembang dan menekankan kepentingan melaksanakan keselamatan yang lebih kukuh langkah-langkah.
