信息化觀察網(wǎng)

近日微軟身份安全總監(jiān)Alex Weinert認(rèn)為，應(yīng)避免依賴SMS和語(yǔ)音呼叫傳遞身份驗(yàn)證因素的多因素身份驗(yàn)證（MFA）。

但這并不是說(shuō)應(yīng)該避免MFA，而是應(yīng)該選擇更安全、更可靠的方法來(lái)實(shí)現(xiàn)多因素身份驗(yàn)證。

為什么基于SMS短信和語(yǔ)音的MFA是最不安全的選擇

去年，Weinert指出，使用任何形式的MFA都比僅依靠密碼來(lái)保證安全性要好，因?yàn)樗@著增加了攻擊者的成本，這就是為什么使用任何類型的MFA的賬戶被入侵的比率都小于0.1%的原因。

Weinert認(rèn)為，但是通過(guò)公用電話交換網(wǎng)（PSTN）傳遞身份驗(yàn)證因素是最不安全的MFA方法，因?yàn)椋?/p>

從實(shí)時(shí)角度來(lái)看，SMS和語(yǔ)音格式無(wú)法提供滿意的用戶體驗(yàn)，也無(wú)法跟上技術(shù)進(jìn)步和攻擊者行為的腳步；

PSTN電話交換網(wǎng)系統(tǒng)不是100％可靠的，這意味著在需要時(shí)可能不會(huì)發(fā)出消息或呼叫；

法規(guī)變化可能會(huì)阻礙SMS的發(fā)送和撥打電話；

SMS和電話的設(shè)計(jì)之初沒(méi)有采用加密，可以被攔截（例如，通過(guò)軟件定義的無(wú)線電、femotcell、SS7攔截服務(wù)、移動(dòng)惡意軟件、網(wǎng)絡(luò)釣魚(yú)工具等）；

攻擊者可能會(huì)欺騙、賄賂或強(qiáng)迫運(yùn)營(yíng)公用電話交換網(wǎng)的公司的支持人員提供對(duì)受害者的SMS或語(yǔ)音通道的訪問(wèn)（例如，通過(guò)SIM交換攻擊）。

MFA依然是必須的

多因素身份驗(yàn)證的價(jià)值不容置疑，但是隨著越來(lái)越多的用戶采用它，攻擊者將嘗試新的方法來(lái)獲取所需的OTP身份驗(yàn)證代碼。

Weinert建議用戶在可能的情況下，從基于SMS短信和語(yǔ)音的MFA切換為使用基于應(yīng)用程序的身份驗(yàn)證。自然，他認(rèn)可了Microsoft Authenticator應(yīng)用程序，但還有其他具有相同功能的應(yīng)用程序（例如Google Authenticator、Cisco的Duo Mobile）和相同的保護(hù)功能（加密通信、更多控制等）。

還有其他MFA選項(xiàng)可用，其中一些選項(xiàng)可提供更高程度的安全性，以抵御遠(yuǎn)程攻擊，例如智能卡或硬件安全密鑰攻擊者只有獲取這些物理設(shè)備，才有可能訪問(wèn)安全賬戶。