Denne sikkerhetsfunksjonen er kanskje ikke så sikker likevel.
Apple- og Android-brukere har blitt oppfordret til å slutte å motta tofaktorautentiseringskoder via tekst etter at myndighetspersoner avslørte et massivt telekombrudd kunne avsløre ikke-krypterte meldinger for ondsinnede aktører.
Tidligere denne måneden ba FBI smarttelefonbrukere om å bruke krypterte meldingsplattformer som Signal eller WhatsApp etter at de dårlige skuespillerne, mistenkt for å være fra Kina, hacket seg inn på AT&T, T-Mobile, Verizon og fem andre nettverk for å spionere på kunder.
Onsdag ga Cybersecurity and Infrastructure Security Agency (CISA) ut et nytt notat som skisserer beste praksis for mobilkommunikasjon i kjølvannet av nettverkshacket, og rådet folk til å slutte å bruke SMS som en annen faktor for autentisering av nettkontoer.
«SMS-meldinger er ikke kryptert – en trusselaktør med tilgang til en telekommunikasjonsleverandørs nettverk som fanger opp disse meldingene kan lese dem,» erklærte CISA.
Å motta koder via SMS er «ikke phishing-resistente», noe som betyr at det ikke er en sikker metode for bekreftelse for høyprofilerte mål.
I stedet oppfordret byrået til bruk av autentiseringsapper – selv om de fortsatt er gjenstand for brudd – eller FIDO-autentisering og passord, som anses som den sikreste verifiseringsmetoden.
Mens noen tjenester på nettet kanskje ikke har et annet alternativ for tofaktorautentisering, oppfordret byrået brukere til å bruke alternative metoder når det er mulig for å minimere risikoen for å bli hacket. De anbefalte også å bruke en passordbehandler, bruke sterke passord, angi en PIN-kode når det er mulig og holde personlige enheter oppdatert.
Rådgivningen følger nyhetene tidligere denne måneden om nettverksbrudd, kalt Salt Typhoon, som eksperter spekulerer på er «pågående og sannsynligvis større i omfang enn tidligere forstått.»
Tjenestemenn var ikke i stand til å erklære med sikkerhet at de ondsinnede aktørene var vellykket utryddet fra nettverkene.
«Vi kan ikke si med sikkerhet at motstanderen har blitt kastet ut,» sa Jeff Greene, administrerende assisterende direktør for cybersikkerhet ved Cybersecurity and Infrastructure Security Agency (CSIA), til Politico.
«Vi er på toppen av å spore dem opp … men vi kan ikke med sikkerhet si at vi vet alt, og det vil heller ikke partnerne våre.»
