Ezért akarja a Microsoft, hogy hagyja abba az SMS és a hangalapú hitelesítés használatát

Alex Weinart, a Microsoft Identity Security igazgatója egy friss blogbejegyzésében olyan véleményt fogalmazott meg, amely első pillantásra kissé ellentmondásosnak tűnhet. Weinart azzal érvelt, hogy az SMS és a hangalapú többtényezős hitelesítési szolgáltatások a legkevésbé biztonságos lehetőségek az MFA-val kapcsolatban.

Míg általában azt gondoljuk, hogy a szöveges üzenetek bolondbiztos és nagyon biztonságos módszer a többtényezős hitelesítés megvalósítására, Weinart felhozott néhány érdekes kérdést, amelyeket az emberek általában nem vesznek figyelembe, amikor a kérdésre gondolnak.

Weinart blogbejegyzésében megfogalmazott pontjai mind az SMS és a hangalapú MFA jellegére vonatkoznak, vagyis a nyilvánosan kapcsolt telefonhálózatok vagy a PSTN részvételére. Weinart szerint a PSTN rendszerek az idő 100% -ában nem teljesen megbízhatóak, és előfordulhat, hogy egy üzenet nem pontosan érkezik, ha szükséges, vagy késik.

Egy másik dolog, amit megemlített, hogy a PSTN-re támaszkodó többtényezős hitelesítés nem képes lépést tartani a technológiai fejlődéssel, és gyakran nem felel meg a felhasználó elvárásainak.

Ezenkívül a különböző regionális vagy szövetségi szintű szabályozási változások megváltoztathatják a vállalatok képességét SMS-ek és telefonhívások kézbesítésére, ezáltal a korábban működő MFA-mód működésképtelenné vagy nehezen fenntarthatóvá válik.

Végül Weinart megemlíti, hogy az SMS-ek és a telefonhívások sem eredendően rendelkeznek semmiféle titkosítással, és technikailag lehetséges különféle hardverek és rosszindulatú programok segítségével lehallgatni őket.

Természetesen ez nem azt jelenti, hogy az embereknek abba kellene hagyniuk az MFA alkalmazását. Éppen ellenkezőleg, Weinart kiemelte az MFA lehetőség szerinti felhasználásának fontosságát és az ezzel járó biztonsági előnyöket. Tanácsa azonban az alkalmazások használatára összpontosított SMS vagy hangalapú szolgáltatások helyett.

A nap végén a rendszeres felhasználó csak a szolgáltatás számukra biztosított MFA-opcióira támaszkodhat. Az alkalmazás vagy szöveges üzenetek használata végső soron a szolgáltató kezében van, és az ügyfél és a végfelhasználó csak a felajánlott elemekkel dönthet.

November 19, 2020

Válaszolj