微软敦促用户放弃基于电话的多因素认证(MFA)解决方案,如通过短信和语音通话发送的一次性代码,取而代之的是更新的MFA技术,如基于应用程序的认证器和安全密钥。
这一警告来自微软身份安全总监亚历克斯·韦恩特(Alex Weinert)。在过去的一年里,Weinert一直代表微软倡导,敦促用户接受并为他们的在线账户启用MFA。
Weinert在去年的一篇博客文章中援引微软内部的统计数据称,启用多因素身份验证(MFA)的用户最终阻止了针对其微软账户的约99.9%的自动攻击。
但在今天的一篇后续博客文章中,Weinert说,如果用户必须在多种MFA解决方案中进行选择,他们应该远离基于电话的MFA。
这位微软高管列举了几个已知的安全问题,这些问题不是与MFA有关,而是与当今电话网络的状况有关。
Weinert说,短信和语音通话都是以明文传输的,可以很容易地被坚定的攻击者拦截,使用软件定义的无线电、毫微微蜂窝或SS7拦截服务等技术和工具。
基于短信的一次性代码也可以通过开源和随处可得的钓鱼工具进行钓鱼,如Emodlishka、CredSniper或Evilginx。
此外,电话网络员工可能会被骗将电话号码转移到威胁参与者的SIM卡--也就是所谓的SIM卡交换攻击--从而允许攻击者代表受害者接收MFA一次性代码。
最重要的是,电话网络还面临不断变化的法规、停机时间和性能问题,所有这些都会影响MFA机制的整体可用性,这反过来又会阻止用户在紧急时刻使用自己的帐户进行身份验证。
根据Weinert的说法,所有这些都使短信和基于电话的MFA成为目前可用的MFA方法中最不安全的。
这位微软高管认为,基于短信和语音的MFA&MFA之间的差距在未来只会拉大。
随着MFA整体使用率的提高,随着越来越多的用户在他们的账户中采用MFA,攻击者也会对破坏MFA方法产生更大的兴趣,短信和基于语音的MFA自然会成为他们的首要目标,因为它被大量采用。
Weinert说,用户应该为他们的账户启用更强大的MFA机制,如果有的话,推荐微软的Authenticator和MFA应用程序作为一个很好的起点。
但如果用户想要最好的,他们应该使用硬件安全密钥,Weinert在去年发表的一篇博客文章中将其评为最佳MFA解决方案。
PS:这并不意味着用户应该为他们的账户禁用短信或基于语音的MFA。SMS MFA仍然比没有MFA要好得多。