𝗨𝗵𝗮𝗸𝗶𝗸𝗶 𝘄𝗮 𝗛𝗮𝘁𝘂𝗮 𝗠𝗯𝗶𝗹𝗶 (𝟮𝗙𝗔) 𝗦𝗶 𝗞𝗶𝗻𝗴𝗮 𝗨𝗻𝗮𝘆𝗼𝗱𝗵𝗮𝗻𝗶 𝗡𝗶 𝗬𝗲𝗻𝘆𝗲𝘄𝗲

Umewasha uhakiki wa hatua mbili (two-factor authentication). Hilo ni hatua nzuri.

Miongozo mingi ya usalama imepuuza jambo moja. Wizi mkubwa zaidi wa akaunti katika miaka mitatu iliyopita haukuja kwa kuvunja namba yako ya siri. Washambuliaji walipata njia za kukufanya uitoe mwenyewe au wakafanya hatua hiyo isifanye kazi.

Hizi hapa ndizo njia tatu kuu ambazo washambuliaji hutumia kukwepa 2FA yako:

  1. Uchovu wa MFA (MFA Fatigue) Washambuliaji hutumia jina lako la mtumiaji na nywila (password) zilizoporwa ili kuanzisha arifa za push notifications. Wanatuma maombi makumi mengi usiku kucha. Watu wengi hugusa "Approve" ili tu kuacha kelele hizo. Hii inampa mshambuliaji uwezo wa kuingia kwenye akaunti (valid session). Uber ilikuwa mwathirika wa hili mnamo 2022.
  • Suluhisho: Washa number matching. Lazima uandike namba inayoonyeshwa kwenye skrini yako kwenye programu (app) yako. Hii inazuia kutoa idhini bila kuangalia.
  1. Mshambuliaji Katikati (Adversary-in-the-Middle - AiTM) Mshambuliaji huunda ukurasa wa uingiaji (login page) wa bandia. Unapoingia, proxy hutuma maelezo yako kwenye tovuti halisi. Tovuti halisi hutuma ombi la 2FA. Proxy hiyo inakurushia ombi hilo kwako. Unaingiza namba yako. Proxy hiyo inaiba session cookie yako. Sasa mshambuliaji anamiliki akaunti yako.
  • Suluhisho: Tumia passkeys au hardware security keys. Hizi hutumia cryptography iliyounganishwa na anwani halisi ya tovuti (domain). Proxy haiwezi kuzidanganya.
  1. Kubadilisha SIM (SIM Swapping) Mshambuliaji hupiga simu kwa mtoa huduma wako wa simu. Wanajifanya ni wewe na kuhamisha namba yako kwenda kwenye kadi yao ya SIM. Sasa, kila namba ya siri ya SMS inaenda kwao.
  • Suluhisho: Acha kutumia SMS kwa jambo lolote muhimu. Tumia programu za authenticator kama Google Authenticator au Authy. Hizi hutengeneza namba kwenye kifaa chako na haziwezi kunaswa kupitia SIM swaps.

Ulinganifu wa Njia za Usalama:

• SMS OTP: Inazuia credential stuffing pekee. • Authenticator App: Inazuia credential stuffing na SIM swaps. • Standard Push: Inazuia credential stuffing na SIM swaps. • Push yenye Number Matching: Inazuia credential stuffing, push bombing, na SIM swaps. • Hardware Key / Passkey: Inazuia kila kitu.

Lengo ni kuwa na MFA inayozuia phishing. Funguo za kifaa (hardware keys) na passkeys zinathibitisha kuwa uko kwenye tovuti halisi. Hakuna namba ya siri ya kuibiwa.

Chukua hatua hizi kulinda akaunti zako:

  • Wiki hii: Ondoa 2FA ya SMS kwenye akaunti za kifedha. Hamia kwenye programu ya authenticator.
  • Mwezi huu: Washa number matching kwenye programu zako za push.
  • Ukiwa tayari: Nunua hardware key kwa ajili ya barua pepe yako na password manager.

Usitumie usalama wa mwaka 2019 dhidi ya vitisho vya mwaka 2025.

Uchambuzi kamili pamoja na mifano halisi ya uvunjifu: https://lucas8.com/mfa-fatigue-attack-two-factor-bypass