微軟:短信是最不安全的MFA驗證方法
責編:gltian |2020-11-23 13:42:41近日微軟身份安全總監Alex Weinert認為,應避免依賴SMS和語音呼叫傳遞身份驗證因素的多因素身份驗證(MFA)。
但這并不是說應該避免MFA,而是應該選擇更安全、更可靠的方法來實現多因素身份驗證。
為什么基于SMS短信和語音的MFA是最不安全的選擇
去年,Weinert指出,使用任何形式的MFA都比僅依靠密碼來保證安全性要好,因為它顯著增加了攻擊者的成本,這就是為什么使用任何類型的MFA的賬戶被入侵的比率都小于0.1%的原因。
Weinert認為,但是通過公用電話交換網(PSTN)傳遞身份驗證因素是最不安全的MFA方法,因為:
- 從實時角度來看,SMS和語音格式無法提供滿意的用戶體驗,也無法跟上技術進步和攻擊者行為的腳步;
- PSTN電話交換網系統不是100%可靠的,這意味著在需要時可能不會發出消息或呼叫;
- 法規變化可能會阻礙SMS的發送和撥打電話;
- SMS和電話的設計之初沒有采用加密,可以被攔截(例如,通過軟件定義的無線電、femotcell、SS7攔截服務、移動惡意軟件、網絡釣魚工具等);
- 攻擊者可能會欺騙、賄賂或強迫運營公用電話交換網的公司的支持人員提供對受害者的SMS或語音通道的訪問(例如,通過SIM交換攻擊)。
MFA依然是必須的
多因素身份驗證的價值不容置疑,但是隨著越來越多的用戶采用它,攻擊者將嘗試新的方法來獲取所需的OTP身份驗證代碼。
Weinert建議用戶在可能的情況下,從基于SMS短信和語音的MFA切換為使用基于應用程序的身份驗證。自然,他認可了Microsoft Authenticator應用程序,但還有其他具有相同功能的應用程序(例如Google Authenticator、Cisco的Duo Mobile)和相同的保護功能(加密通信、更多控制等)。
還有其他MFA選項可用,其中一些選項可提供更高程度的安全性,以抵御遠程攻擊,例如智能卡或硬件安全密鑰攻擊者只有獲取這些物理設備,才有可能訪問安全賬戶。