微软:短信是最不安全的MFA验证方法

2020-11-20 15:57:50
aqniu
信息安全
全文共约 815 字,阅读约需 2~3 分钟。
Weinert建议用户在可能的情况下,从基于SMS短信和语音的MFA切换为使用基于应用程序的身份验证。自然,他认可了Microsoft Authenticator应用程序,但还有其他具有相同功能的应用程序(例如Google Authenticator、Cisco的Duo Mobile)和相同的保护功能(加密通信、更多控制等)。

近日微软身份安全总监Alex Weinert认为,应避免依赖SMS和语音呼叫传递身份验证因素的多因素身份验证(MFA)。

但这并不是说应该避免MFA,而是应该选择更安全、更可靠的方法来实现多因素身份验证。

为什么基于SMS短信和语音的MFA是最不安全的选择

去年,Weinert指出,使用任何形式的MFA都比仅依靠密码来保证安全性要好,因为它显著增加了攻击者的成本,这就是为什么使用任何类型的MFA的账户被入侵的比率都小于0.1%的原因。

2345截图20201119114036.png

Weinert认为,但是通过公用电话交换网(PSTN)传递身份验证因素是最不安全的MFA方法,因为:

从实时角度来看,SMS和语音格式无法提供满意的用户体验,也无法跟上技术进步和攻击者行为的脚步;

PSTN电话交换网系统不是100%可靠的,这意味着在需要时可能不会发出消息或呼叫;

法规变化可能会阻碍SMS的发送和拨打电话;

SMS和电话的设计之初没有采用加密,可以被拦截(例如,通过软件定义的无线电、femotcell、SS7拦截服务、移动恶意软件、网络钓鱼工具等);

攻击者可能会欺骗、贿赂或强迫运营公用电话交换网的公司的支持人员提供对受害者的SMS或语音通道的访问(例如,通过SIM交换攻击)。

MFA依然是必须的

多因素身份验证的价值不容置疑,但是随着越来越多的用户采用它,攻击者将尝试新的方法来获取所需的OTP身份验证代码。

Weinert建议用户在可能的情况下,从基于SMS短信和语音的MFA切换为使用基于应用程序的身份验证。自然,他认可了Microsoft Authenticator应用程序,但还有其他具有相同功能的应用程序(例如Google Authenticator、Cisco的Duo Mobile)和相同的保护功能(加密通信、更多控制等)。

还有其他MFA选项可用,其中一些选项可提供更高程度的安全性,以抵御远程攻击,例如智能卡或硬件安全密钥攻击者只有获取这些物理设备,才有可能访问安全账户。

收藏
免责声明:凡注明为其它来源的信息均转自其它平台,由网友自主投稿和发布、编辑整理上传,对此类作品本站仅提供交流平台,不为其版权负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。如果您发现网站上有侵犯您的知识产权的作品,请与我们取得联系,我们会及时修改或删除。联系邮箱:leixiao@infoobs.com