Her er hvorfor Microsoft ønsker, at du holder op med at bruge SMS og stemmebaseret godkendelse

I et nylig blogindlæg udtrykte Alex Weinart, Microsofts direktør for Identity Security, en mening, der ved første øjekast kan virke lidt kontroversiel. Weinart hævdede, at SMS og stemmebaserede multifaktorautentificeringstjenester er den mindst sikre løsning, når det kommer til MFA.

Mens vi normalt kan lide at tro, at tekstbeskeder er en idiotsikker og meget sikker metode til implementering af multifaktorautentificering, tog Weinart op et par interessante punkter, som folk generelt ikke overvejer, når de tænker på problemet.

De punkter, Weinart fremsætter i sit blogindlæg, vedrører alt sammen karakteren af SMS og stemmebaseret MFA, og det er involveringen af offentligt koblede telefonnetværk eller PSTN. Ifølge Weinart er PSTN-systemer ikke helt pålidelige 100% af tiden, og en meddelelse kommer muligvis ikke igennem nøjagtigt, når det er nødvendigt eller bliver forsinket.

En anden ting, han nævnte, var at PSTN-afhængig multifaktorautentificering ikke kan følge med på teknologiske fremskridt og ofte ikke kan leve op til brugerens forventninger til oplevelsen.

Derudover kan forskellige regionale eller føderale ændringer i regler ændre virksomhedernes evne til at levere SMS og telefonopkald, hvilket effektivt gør en tidligere fungerende MFA-metode ubrugelig eller vanskelig at vedligeholde.

Endelig nævner Weinart, at både SMS og telefonopkald ikke i sig selv har nogen form for kryptering, og det er teknisk muligt at opfange dem ved hjælp af en række hardware og malware.

Selvfølgelig betyder det ikke, at folk skal stoppe med at bruge MFA. Tværtimod fremhævede Weinart vigtigheden af at bruge MFA, når det er muligt, og de sikkerhedsfordele, det medfører. Hans råd fokuserede dog på at bruge applikationer i stedet for SMS eller stemmebaserede tjenester.

I slutningen af dagen kan den almindelige bruger kun stole på de MFA-muligheder, en tjeneste giver dem. Beslutningen om at bruge et program eller en sms er i sidste ende i tjenesteudbyderens hænder, og kunden og slutbrugeren kan kun gå med det, der tilbydes.