Her er hvorfor Microsoft vil at du skal slutte å bruke SMS og stemmebasert godkjenning

I et nylig blogginnlegg uttrykte Alex Weinart, Microsofts direktør for Identity Security, en mening som ved første øyekast kan virke litt kontroversiell. Weinart hevdet at SMS og stemmebaserte multifaktorautentiseringstjenester er det minst sikre alternativet når det gjelder MFA.

Mens vi vanligvis liker å tro at tekstmeldinger er en idiotsikker og veldig sikker metode for å implementere flerfaktorautentisering, tok Weinart opp noen interessante punkter som folk generelt ikke vurderer når de tenker på problemet.

Poengene Weinart kommer med i blogginnlegget deres, er alle knyttet til naturen til SMS og stemmebasert MFA, og det er involveringen av offentlig slått telefonnett eller PSTN. I følge Weinart er PSTN-systemer ikke helt pålitelige 100% av tiden, og det kan hende at en melding ikke kommer gjennom nøyaktig når det er nødvendig eller blir forsinket.

En annen ting han nevnte var at PSTN-avhengig flerfaktorautentisering ikke kan følge med på teknologiske fremskritt og ofte ikke klarer å leve opp til brukerens forventninger til opplevelsen.

I tillegg kan forskjellige regionale eller føderale endringer i regelverket endre muligheten for bedrifter til å levere SMS og telefonsamtaler, og dermed gjøre en tidligere fungerende MFA-metode ubrukelig eller vanskelig å vedlikeholde.

Til slutt nevner Weinart at både SMS og telefonsamtaler ikke iboende har noen form for kryptering, og det er teknisk mulig å fange dem opp ved hjelp av en rekke maskinvare og malware.

Dette betyr selvfølgelig ikke at folk skal slutte å bruke MFA. Tvert imot fremhevet Weinart viktigheten av å bruke MFA når det er mulig og sikkerhetsfordelene det medfører. Hans råd fokuserte imidlertid på å bruke applikasjoner i stedet for SMS eller stemmebaserte tjenester.

På slutten av dagen kan den vanlige brukeren bare stole på hvilke MFA-alternativer en tjeneste gir dem. Beslutningen om å bruke et program eller en tekstmelding er i siste instans i hendene på tjenesteleverandøren, og kunden og sluttbrukeren kan bare gå med det som tilbys.

November 19, 2020

Legg igjen et svar