這就是Microsoft希望您停止使用SMS和基於語音的身份驗證的原因

微軟身份安全總監Alex Weinart在最近的博客文章中表達了一種觀點,乍看之下似乎有些爭議。 Weinart認為,涉及MFA時,SMS和基於語音的多因素身份驗證服務是最不安全的選擇。

儘管我們通常認為文本消息是實現多因素身份驗證的萬無一失且非常安全的方法,但Weinart提出了一些人們通常在考慮該問題時不會考慮的有趣觀點。

Weinart在他的博客文章中提出的觀點都與SMS和基於語音的MFA的性質有關,這涉及公共交換電話網絡或PSTN。根據Weinart的說法,PSTN系統在100%的時間內都不是完全可靠的,消息可能無法在需要的時候準確通過或延遲。

他提到的另一件事是,依賴PSTN的多因素身份驗證無法跟上技術進步的步伐,並且常常無法達到用戶對體驗的期望。

此外,不同的地區或聯邦級別法規變更可能會改變公司傳遞SMS和電話的能力,從而有效地使以前使用的MFA方法無法操作或難以維護。

最後,Weinart提到,短信和電話本來就不具有任何加密方式,從技術上講,可以使用各種硬件和惡意軟件截獲它們。

當然,這並不意味著人們應該停止使用MFA。相反,Weinart強調了盡可能使用MFA的重要性及其帶來的安全利益。但是,他的建議集中在使用應用程序而不是SMS或基於語音的服務。

最終,普通用戶只能依靠服務為他們提供的任何MFA選項。是否使用應用程序或文本消息的決定最終將由服務提供商決定,客戶和最終用戶只能接受所提供的內容。

November 19, 2020

發表評論