Microsoft möchte, dass Sie die Verwendung von SMS und sprachbasierter Authentifizierung einstellen
In einem kürzlich veröffentlichten Blog-Beitrag äußerte Alex Weinart, Director of Identity Security bei Microsoft, eine Meinung, die auf den ersten Blick etwas kontrovers erscheinen mag. Weinart argumentierte, dass SMS- und sprachbasierte Multi-Faktor-Authentifizierungsdienste die am wenigsten sichere Option sind, wenn es um MFA geht.
Während wir normalerweise gerne glauben, dass Textnachrichten eine narrensichere und sehr sichere Methode zur Implementierung der Multi-Faktor-Authentifizierung sind, hat Weinart einige interessante Punkte angesprochen, die die Leute im Allgemeinen nicht berücksichtigen, wenn sie über das Problem nachdenken.
Die Punkte, die Weinart in seinem Blogbeitrag hervorhebt, beziehen sich alle auf die Natur von SMS und sprachbasiertem MFA, und das ist die Beteiligung von öffentlich geschalteten Telefonnetzen oder PSTN. Laut Weinart sind PSTN-Systeme nicht 100% ig zuverlässig und eine Nachricht kommt möglicherweise nicht genau bei Bedarf durch oder verzögert sich.
Eine andere Sache, die er erwähnte, war, dass die PSTN-abhängige Multi-Faktor-Authentifizierung nicht mit dem technologischen Fortschritt Schritt halten kann und oft nicht den Erwartungen des Benutzers an die Erfahrung entspricht.
Darüber hinaus können unterschiedliche Änderungen der Vorschriften auf regionaler oder föderaler Ebene die Fähigkeit von Unternehmen zur Zustellung von SMS- und Telefonanrufen verändern und eine zuvor funktionierende MFA-Methode effektiv funktionsunfähig oder schwierig zu warten machen.
Schließlich erwähnt Weinart, dass sowohl SMS- als auch Telefonanrufe von Natur aus keine Verschlüsselung aufweisen und es technisch möglich ist, sie mit einer Vielzahl von Hardware und Malware abzufangen.
Dies bedeutet natürlich nicht, dass Menschen die Verwendung von MFA einstellen sollten. Im Gegenteil, Weinart betonte die Bedeutung der Verwendung von MFA, wann immer dies möglich ist, und die damit verbundenen Sicherheitsvorteile. Sein Rat konzentrierte sich jedoch auf die Verwendung von Anwendungen anstelle von SMS- oder sprachbasierten Diensten.
Letztendlich kann sich der reguläre Benutzer nur auf die MFA-Optionen verlassen, die ein Dienst für ihn bereitstellt. Die Entscheidung, ob eine Anwendung oder Textnachrichten verwendet werden sollen, liegt letztendlich in den Händen des Dienstanbieters, und der Kunde und der Endbenutzer können nur mit dem entscheiden, was angeboten wird.