Ecco perché Microsoft vuole che tu smetta di usare SMS e autenticazione vocale
In un recente post sul blog Alex Weinart, direttore di Identity Security di Microsoft, ha espresso un'opinione che a prima vista può sembrare un po 'controversa. Weinart ha affermato che i servizi di autenticazione multifattoriale tramite SMS e voce sono l'opzione meno sicura quando si tratta di MFA.
Mentre di solito ci piace pensare che i messaggi di testo siano un metodo infallibile e molto sicuro per implementare l'autenticazione a più fattori, Weinart ha sollevato alcuni punti interessanti che le persone generalmente non considerano quando pensano al problema.
I punti che Weinart sottolinea nel suo post sul blog si riferiscono tutti alla natura degli SMS e dell'MFA basato sulla voce, e cioè il coinvolgimento di reti telefoniche a commutazione pubblica o PSTN. Secondo Weinart, i sistemi PSTN non sono completamente affidabili il 100% delle volte e un messaggio potrebbe non arrivare esattamente quando necessario o essere ritardato.
Un'altra cosa che ha menzionato è che l'autenticazione a più fattori basata su PSTN non è in grado di tenere il passo con i progressi tecnologici e spesso può non essere all'altezza delle aspettative degli utenti sull'esperienza.
Inoltre, diverse modifiche alle normative a livello regionale o federale possono alterare la capacità delle aziende di fornire SMS e telefonate, rendendo di fatto un metodo MFA funzionante in precedenza inutilizzabile o difficile da mantenere.
Infine, Weinart afferma che sia gli SMS che le telefonate non hanno intrinsecamente alcun tipo di crittografia ed è tecnicamente possibile intercettarli utilizzando una varietà di hardware e malware.
Ovviamente, questo non significa che le persone dovrebbero smettere di usare MFA. Al contrario, Weinart ha sottolineato l'importanza di utilizzare MFA quando possibile e i vantaggi in termini di sicurezza che comporta. Tuttavia, i suoi consigli si sono concentrati sull'utilizzo di applicazioni anziché SMS o servizi vocali.
Alla fine della giornata, l'utente normale può fare affidamento solo su qualsiasi opzione MFA fornita da un servizio. La decisione se utilizzare un'applicazione o messaggi di testo è in definitiva nelle mani del fornitore di servizi e il cliente e l'utente finale possono accettare solo ciò che viene offerto.