微软:短信是最不安全的MFA验证方法
作者:星期四, 十一月 19, 20200

近日微软身份安全总监Alex Weinert认为,应避免依赖SMS和语音呼叫传递身份验证因素的多因素身份验证(MFA)。

但这并不是说应该避免MFA,而是应该选择更安全、更可靠的方法来实现多因素身份验证。

为什么基于SMS短信和语音的MFA是最不安全的选择

去年,Weinert指出,使用任何形式的MFA都比仅依靠密码来保证安全性要好,因为它显著增加了攻击者的成本,这就是为什么使用任何类型的MFA的账户被入侵的比率都小于0.1%的原因。

Weinert认为,但是通过公用电话交换网(PSTN)传递身份验证因素是最不安全的MFA方法,因为:

  • 从实时角度来看,SMS和语音格式无法提供满意的用户体验,也无法跟上技术进步和攻击者行为的脚步;
  • PSTN电话交换网系统不是100%可靠的,这意味着在需要时可能不会发出消息或呼叫;
  • 法规变化可能会阻碍SMS的发送和拨打电话;
  • SMS和电话的设计之初没有采用加密,可以被拦截(例如,通过软件定义的无线电、femotcell、SS7拦截服务、移动恶意软件、网络钓鱼工具等);
  • 攻击者可能会欺骗、贿赂或强迫运营公用电话交换网的公司的支持人员提供对受害者的SMS或语音通道的访问(例如,通过SIM交换攻击)。

MFA依然是必须的

多因素身份验证的价值不容置疑,但是随着越来越多的用户采用它,攻击者将尝试新的方法来获取所需的OTP身份验证代码。

Weinert建议用户在可能的情况下,从基于SMS短信和语音的MFA切换为使用基于应用程序的身份验证。自然,他认可了Microsoft Authenticator应用程序,但还有其他具有相同功能的应用程序(例如Google Authenticator、Cisco的Duo Mobile)和相同的保护功能(加密通信、更多控制等)。

还有其他MFA选项可用,其中一些选项可提供更高程度的安全性,以抵御远程攻击,例如智能卡或硬件安全密钥攻击者只有获取这些物理设备,才有可能访问安全账户。

关键词:


相关文章