这就是Microsoft希望您停止使用SMS和基于语音的身份验证的原因

微软身份安全总监Alex Weinart在最近的博客文章中表达了一种观点,乍看之下似乎有些争议。 Weinart认为,涉及MFA时,SMS和基于语音的多因素身份验证服务是最不安全的选择。

尽管我们通常认为文本消息是实现多因素身份验证的万无一失且非常安全的方法,但Weinart提出了一些人们通常在考虑该问题时不会考虑的有趣观点。

Weinart在他的博客文章中提出的观点都与SMS和基于语音的MFA的性质有关,这涉及公共交换电话网络或PSTN。根据Weinart的说法,PSTN系统在100%的时间内都不是完全可靠的,消息可能无法在需要的时候准确通过或延迟。

他提到的另一件事是,依赖PSTN的多因素身份验证无法跟上技术进步的步伐,并且常常无法达到用户对体验的期望。

此外,不同的地区或联邦级别的法规变更可能会改变公司传递SMS和电话的能力,从而有效地使以前使用的MFA方法无法操作或难以维护。

最后,Weinart提到,短信和电话本来就不具有任何加密方式,从技术上讲,可以使用各种硬件和恶意软件截获它们。

当然,这并不意味着人们应该停止使用MFA。相反,Weinart强调了尽可能使用MFA的重要性及其带来的安全利益。但是,他的建议集中在使用应用程序而不是SMS或基于语音的服务。

最终,普通用户只能依靠服务为他们提供的任何MFA选项。是否使用应用程序或文本消息的决定最终将由服务提供商决定,客户和最终用户只能接受所提供的内容。

November 19, 2020

发表评论