微软身份安全总监Alex Weinert(Alex Weinert)表示,应避免依赖于通过SMS和语音呼叫传递的一种身份验证因素的多因素身份验证(MFA), 认为 .
那’并不是说应该避免使用MFA,而只是有更安全,更可靠的方法来获取其他身份验证因素。
为什么基于SMS和语音的MFA是最不安全的选择
去年,韦纳特 注意到的 使用任何形式的MFA都比仅依靠密码来确保安全性要好,因为“这极大地增加了攻击者的成本,这就是使用任何类型的MFA的帐户被盗用率不到总人口的0.1%的原因。”
但是他认为,通过公用电话交换网(PSTN)传递认证因素是最不安全的MFA方法,因为:
- SMS和语音格式无法实时适应用户体验期望,技术进步和攻击者的行为
- PSTN系统不是100%可靠的,这意味着在需要时可能不会发出消息或呼叫
- 法规变化可能会阻碍SMS的发送和拨打电话
- SMS和电话的设计没有加密,可以被拦截(例如,通过软件定义的无线电,femotcell,SS7拦截服务,移动恶意软件,网络钓鱼工具)
- 攻击者可能会欺骗,贿赂或强迫运营公用电话交换网的公司的支持人员提供对受害者的访问权限’短信或语音渠道(例如,通过SIM卡交换)
必须拥有MFA
多因素身份验证的价值不容置疑,但是随着越来越多的用户采用它,攻击者将尝试提出新的方法来获取所需的OTP身份验证代码。
Weinert建议用户在可能的情况下,从基于SMS和语音的MFA切换为使用基于应用程序的身份验证。自然,他赞同Microsoft Authenticator应用程序,但是还有其他具有相同功能的应用程序(例如Google Authenticator,Cisco’s Duo Mobile)和相同的保护(加密通信,更多控制等)。
还有其他MFA选项可用,其中一些选项可提供更高程度的安全性以抵御远程攻击,例如智能卡或安全密钥。–实际的物理设备,攻击者应该动手以访问安全帐户。