信息化觀察網(wǎng)

近日微軟身份安全總監(jiān)Alex Weinert認(rèn)為，應(yīng)避免依賴SMS和語音呼叫傳遞身份驗(yàn)證因素的多因素身份驗(yàn)證（MFA）。

但這并不是說應(yīng)該避免MFA，而是應(yīng)該選擇更安全、更可靠的方法來實(shí)現(xiàn)多因素身份驗(yàn)證。

為什么基于SMS短信和語音的MFA是最不安全的選擇

去年，Weinert指出，使用任何形式的MFA都比僅依靠密碼來保證安全性要好，因?yàn)樗@著增加了攻擊者的成本，這就是為什么使用任何類型的MFA的賬戶被入侵的比率都小于0.1%的原因。

Weinert認(rèn)為，但是通過公用電話交換網(wǎng)（PSTN）傳遞身份驗(yàn)證因素是最不安全的MFA方法，因?yàn)椋?/p>

從實(shí)時(shí)角度來看，SMS和語音格式無法提供滿意的用戶體驗(yàn)，也無法跟上技術(shù)進(jìn)步和攻擊者行為的腳步；

PSTN電話交換網(wǎng)系統(tǒng)不是100％可靠的，這意味著在需要時(shí)可能不會(huì)發(fā)出消息或呼叫；

法規(guī)變化可能會(huì)阻礙SMS的發(fā)送和撥打電話；

SMS和電話的設(shè)計(jì)之初沒有采用加密，可以被攔截（例如，通過軟件定義的無線電、femotcell、SS7攔截服務(wù)、移動(dòng)惡意軟件、網(wǎng)絡(luò)釣魚工具等）；

攻擊者可能會(huì)欺騙、賄賂或強(qiáng)迫運(yùn)營公用電話交換網(wǎng)的公司的支持人員提供對(duì)受害者的SMS或語音通道的訪問（例如，通過SIM交換攻擊）。

MFA依然是必須的

多因素身份驗(yàn)證的價(jià)值不容置疑，但是隨著越來越多的用戶采用它，攻擊者將嘗試新的方法來獲取所需的OTP身份驗(yàn)證代碼。

Weinert建議用戶在可能的情況下，從基于SMS短信和語音的MFA切換為使用基于應(yīng)用程序的身份驗(yàn)證。自然，他認(rèn)可了Microsoft Authenticator應(yīng)用程序，但還有其他具有相同功能的應(yīng)用程序（例如Google Authenticator、Cisco的Duo Mobile）和相同的保護(hù)功能（加密通信、更多控制等）。

還有其他MFA選項(xiàng)可用，其中一些選項(xiàng)可提供更高程度的安全性，以抵御遠(yuǎn)程攻擊，例如智能卡或硬件安全密鑰攻擊者只有獲取這些物理設(shè)備，才有可能訪問安全賬戶。