Вот почему Microsoft хочет, чтобы вы перестали использовать SMS и голосовую аутентификацию
В недавнем сообщении в блоге Алекс Вейнарт, директор Microsoft по Identity Security, выразил мнение, которое на первый взгляд может показаться немного спорным. Вейнарт утверждал, что службы многофакторной аутентификации на основе SMS и голосовой связи являются наименее безопасным вариантом, когда речь идет о MFA.
Хотя нам обычно нравится думать, что текстовые сообщения - это надежный и очень безопасный метод реализации многофакторной аутентификации, Вейнарт поднял несколько интересных моментов, которые люди обычно не принимают во внимание, когда думают о проблеме.
Все моменты, которые Вейнарт делает в своем сообщении в блоге, относятся к природе SMS и голосовой MFA, а именно к участию в коммутируемых телефонных сетях общего пользования или PSTN. По словам Вейнарта, системы PSTN не являются полностью надежными в 100% случаев, и сообщение может не прийти точно в тот момент, когда это необходимо, или задержаться.
Еще он упомянул, что многофакторная аутентификация, основанная на PSTN, не может идти в ногу с технологическими достижениями и часто может не соответствовать ожиданиям пользователя от опыта.
Кроме того, различные изменения в правилах на региональном или федеральном уровне могут повлиять на способность компаний доставлять SMS и телефонные звонки, фактически делая ранее работавший метод MFA неработоспособным или трудным в обслуживании.
Наконец, Вейнарт упоминает, что и SMS, и телефонные звонки по своей сути не имеют какого-либо шифрования, и технически их можно перехватить с помощью различного оборудования и вредоносных программ.
Конечно, это не означает, что люди должны прекратить использовать MFA. Напротив, Вейнарт подчеркнул важность использования MFA, когда это возможно, и преимущества безопасности, которые это приносит. Однако его совет касался использования приложений вместо SMS или голосовых сервисов.
В конце концов, обычный пользователь может полагаться только на те варианты MFA, которые предоставляет ему служба. Решение о том, использовать ли приложение или текстовые сообщения, в конечном итоге находится в руках поставщика услуг, а заказчик и конечный пользователь могут только согласиться с тем, что предлагается.