微软:短信是最不安全的MFA验证方法

微软:短信是最不安全的MFA验证方法

qq黑客访客2021-10-11 10:24:004625A+A-

近日微软身份安全总监Alex Weinert认为,应避免依赖SMS和语音呼叫传递身份验证因素的多因素身份验证(MFA)。

但这并不是说应该避免MFA,而是应该选择更安全、更可靠的方法来实现多因素身份验证。

为什么基于SMS短信和语音的MFA是最不安全的选择

去年,Weinert指出,使用任何形式的MFA都比仅依靠密码来保证安全性要好,因为它显著增加了攻击者的成本,这就是为什么使用任何类型的MFA的账户被入侵的比率都小于0.1%的原因。

Weinert认为,但是通过公用电话交换网(PSTN)传递身份验证因素是最不安全的MFA方法,因为:

  • 从实时角度来看,SMS和语音格式无法提供满意的用户体验,也无法跟上技术进步和攻击者行为的脚步;
  • PSTN电话交换网系统不是100%可靠的,这意味着在需要时可能不会发出消息或呼叫;
  • 法规变化可能会阻碍SMS的发送和拨打电话;
  • SMS和电话的设计之初没有采用加密,可以被拦截(例如,通过软件定义的无线电、femotcell、SS7拦截服务、移动恶意软件、网络钓鱼工具等);
  • 攻击者可能会欺骗、贿赂或强迫运营公用电话交换网的公司的支持人员提供对受害者的SMS或语音通道的访问(例如,通过SIM交换攻击)。

MFA依然是必须的

多因素身份验证的价值不容置疑,但是随着越来越多的用户采用它,攻击者将尝试新的方法来获取所需的OTP身份验证代码。

Weinert建议用户在可能的情况下,从基于SMS短信和语音的MFA切换为使用基于应用程序的身份验证。自然,他认可了Microsoft Authenticator应用程序,但还有其他具有相同功能的应用程序(例如Google Authenticator、Cisco的Duo Mobile)和相同的保护功能(加密通信、更多控制等)。

还有其他MFA选项可用,其中一些选项可提供更高程度的安全性,以抵御远程攻击,例如智能卡或硬件安全密钥攻击者只有获取这些物理设备,才有可能访问安全账户。

点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 5条评论
  • 余安浊厌2022-05-28 05:13:35
  • ,这意味着在需要时可能不会发出消息或呼叫;法规变化可能会阻碍SMS的发送和拨打电话;SMS和电话的设计之初没有采用加密,可以被拦截(例如,通过软件定义的无线电、femotcell、SS7拦截服务、移动恶意软件、网络钓鱼工具
  • 痛言梦息2022-05-27 21:54:28
  • 、更多控制等)。还有其他MFA选项可用,其中一些选项可提供更高程度的安全性,以抵御远程攻击,例如智能卡或硬件安全密钥攻击者只有获取这些物理设备,才有可能访问安全账户。
  • 泪灼断渊2022-05-28 03:53:17
  • 的发送和拨打电话;SMS和电话的设计之初没有采用加密,可以被拦截(例如,通过软件定义的无线电、femotcell、SS7拦截服务、移动恶意软件、网络钓鱼工具等);攻击者可能会欺骗、贿赂或强迫运营公用电话交换网的公司的支持人员提供对受害者的SMS
  • 寻妄笑惜2022-05-28 07:34:36
  • 用程序,但还有其他具有相同功能的应用程序(例如Google Authenticator、Cisco的Duo Mobile)和相同的保护功能(加密通信、更多控制等)。还有其他MFA选项可用,
  • 夙世夏见2022-05-28 01:53:35
  • S短信和语音的MFA是最不安全的选择去年,Weinert指出,使用任何形式的MFA都比仅依靠密码来保证安全性要好,因为它显著增加了攻击者的成本,这就是为什么使用任何类型的MFA的账户被入侵的比率都小于0.1%的原因。

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理