Εδώ είναι γιατί η Microsoft θέλει να σταματήσετε να χρησιμοποιείτε SMS και έλεγχο ταυτότητας με φωνή

Σε μια πρόσφατη ανάρτηση στο blog, ο Alex Weinart, διευθυντής της Microsoft Identity Security, εξέφρασε μια άποψη που μπορεί να φαίνεται λίγο αμφιλεγόμενη με την πρώτη ματιά. Ο Weinart υποστήριξε ότι οι υπηρεσίες ελέγχου ταυτότητας πολλαπλών παραγόντων μέσω SMS και φωνής είναι η λιγότερο ασφαλής επιλογή όταν πρόκειται για MFA.

Παρόλο που συνήθως μας αρέσει να πιστεύουμε ότι τα μηνύματα κειμένου είναι μια ανόητη και πολύ ασφαλής μέθοδος για την εφαρμογή ελέγχου ταυτότητας πολλών παραγόντων, ο Weinart έθεσε μερικά ενδιαφέροντα σημεία που οι άνθρωποι γενικά δεν λαμβάνουν υπόψη όταν σκέφτονται το ζήτημα.

Τα σημεία που κάνει ο Weinart στην ανάρτηση του ιστολογίου σχετίζονται όλα με τη φύση του SMS και του MFA που βασίζεται σε φωνή, και αυτή είναι η συμμετοχή δημόσιων τηλεφωνικών δικτύων ή PSTN. Σύμφωνα με τον Weinart, τα συστήματα PSTN δεν είναι απολύτως αξιόπιστα το 100% του χρόνου και ένα μήνυμα μπορεί να μην φτάσει ακριβώς όταν χρειάζεται ή να καθυστερήσει.

Ένα άλλο πράγμα που ανέφερε ήταν ότι ο έλεγχος ταυτότητας πολλαπλών παραγόντων που βασίζεται σε PSTN δεν μπορεί να συμβαδίσει με τις τεχνολογικές εξελίξεις και συχνά μπορεί να αποτύχει να ανταποκριθεί στις προσδοκίες των χρηστών για την εμπειρία.

Επιπλέον, διαφορετικές αλλαγές σε κανονισμούς σε περιφερειακό ή ομοσπονδιακό επίπεδο ενδέχεται να αλλάξουν την ικανότητα των εταιρειών να παρέχουν SMS και τηλεφωνικές κλήσεις, καθιστώντας αποτελεσματικά μια προηγούμενη λειτουργική μέθοδο MFA μη λειτουργική ή δύσκολη στη συντήρηση.

Τέλος, ο Weinart αναφέρει ότι τόσο τα SMS όσο και οι τηλεφωνικές κλήσεις δεν έχουν εγγενώς κανένα είδος κρυπτογράφησης και είναι τεχνικά δυνατό να τα παρακολουθήσουν χρησιμοποιώντας μια ποικιλία υλικού και κακόβουλου λογισμικού.

Φυσικά, αυτό δεν σημαίνει ότι οι άνθρωποι πρέπει να σταματήσουν να χρησιμοποιούν MFA. Αντίθετα, ο Weinart τόνισε τη σημασία της χρήσης MFA όποτε είναι δυνατόν και των οφελών ασφαλείας που αποφέρει. Ωστόσο, οι συμβουλές του επικεντρώθηκαν στη χρήση εφαρμογών αντί SMS ή φωνητικών υπηρεσιών.

Στο τέλος της ημέρας, ο κανονικός χρήστης μπορεί να βασιστεί μόνο σε ό, τι επιλογές MFA παρέχει μια υπηρεσία για αυτούς. Η απόφαση για τη χρήση μιας εφαρμογής ή των μηνυμάτων κειμένου είναι τελικά στα χέρια του παρόχου υπηρεσιών και ο πελάτης και ο τελικός χρήστης μπορούν να ακολουθήσουν μόνο όσα προσφέρονται.

November 19, 2020

Αφήστε μια απάντηση