Koodi lähetetään suojaamattomana
Microsoftin käyttäjätietojen suojauksen johtaja Alex Weinert varoittaa käyttämästä tekstiviestivahvistusta kaksivaiheisessa tunnistautumisessa.
Weinertin mukaan tekstiviesti on suojaton, se kulkee selkotekstinä, sillä tekstiviestiliikennettä ei salata. Tämä tarkoittaa, että vahvistuskoodi voidaan siepata.
Maailmalla
on jo demonstroitu useasti, kuinka hyökkääjä voi asettua koodiviestin
lähettävän palvelimen ja viestiä vastaanottavan puhelimen väliin.
Kaksivaiheisesta tunnistautumisesta ei pidä luopua
Microsoftin varoitus ei tarkoita, kaksivaiheisesta tunnistautumisesta pitäisi luopua ja käyttää kirjautumiseen pelkästään käyttäjätunnusta ja salasanaa. Mutta tekstiviestillä tapahtuva koodin tilaus pitää vaihtaa toiseen menetelmään.
Menetelmän voi vaihtaa esimerkiksi Gmailin tai Microsoft-tilin asetuksissa.
Tekstiviestikoodin
sijaan voi käyttää todentajasovelluksia, jotka generoivat vahvistuskoodin
suoraan puhelimen näytölle, suojatussa tilassa.
Googlen palveluihin käytetään Googlen omaa Google Authenticator -sovellusta, ja Microsoftin sovellus on puolestaan nimeltään Microsoft Authenticator.
Puhelimessa asennetun sovelluksen kuvakkeen alla lukee pelkästään Authenticator, mikä voi aiheuttaa sekaannusta, jos ottaa käyttöön molemmat sovellukset, mutta sovelluksen tunnistaa kuitenkin kuvakkeen kuvasta.
> Lataa Microsoft Authenticator täältä <
> Lataa Google Authenticator täältä <
Sovelluksen voi ladata myös laitteen sovelluskaupasta.
