微软敦促用户放弃基于电话的多因素身份验证(MFA)解决方案,如通过短信息和语音呼叫发送的一次性代码,代之以更新的多因素认证技术,就像基于应用程序的身份验证程序和安全密钥。
警告来自Alex Weiner,微软身份安全总监。在过去的一年里,韦内特一直代表微软进行宣传,敦促用户接受并为他们的在线账户启用MFA。
引用微软内部的统计数据,韦内特在去年的一篇博文中说,启用了多因素身份验证(MFA)的用户最终会https://techcommunity.microsoft.com/t5/azure-active-directory-identity/your-pa-word-does-t-matter/ba-p/731984“target=”nu blank“rel=”noopener noreferrer“data component=”externalLink“>阻止大约99.9%的自动化针对他们的Microsoft帐户的攻击。
但是在今天的后续博客文章中,Weiner说,如果用户必须在多种MFA解决方案中进行选择,他们应该远离基于电话的MFA。
微软高管列举了几个已知的安全问题,而不是MFA,但鉴于当今电话网络的现状。
韦内特说,短信和语音通话都是明文传输的,很容易被有决心的攻击者截获,使用诸如软件定义无线电,FEMTO单元,或SS7拦截服务
基于短信的一次性代码也可以通过开源和现成的钓鱼工具进行仿冒,如href=“https://www.zdnet.com/article/new-tool-automates-phishing-attacks-that-bypass-2fa/“target=”\u blank“>Modlishka、CredSniper或Evilginx。
进一步,电话网络员工可能会被诱骗将电话号码转移到威胁参与者的SIM卡上,这就是所谓的SIM卡交换-,允许攻击者代表受害者接收MFA一次性代码。
除此之外,电话网络还面临不断变化的法规、停机时间和性能问题,所有这些都会影响MFA机制的整体可用性,进而,防止用户在紧急情况下对其帐户进行身份验证。
根据韦纳的说法,所有这些都使得基于短信和呼叫的MFA“是当今可用的MFA方法中最不安全的方法”。
微软高管认为,短信和语音之间的差距;基于语音的MFA在未来“只会扩大”。
随着MFA采用率总体上的增加,随着越来越多的用户为其帐户采用MFA,攻击者也会对破坏MFA方法更感兴趣,SMS和基于语音的MFA因其大量采用而自然成为其主要目标。
Weiner说,用户应启用为他们的客户提供更强大的MFA机制(如有),建议Microsoft的AuthenticatorMFA应用程序是一个很好的起点。
但是如果用户想要最好的,他们应该使用硬件安全密钥,哪家公司在他去年发表的一篇博文中被评为最佳MFA解决方案。
PS:这不意味着用户应该禁用为他们的帐户提供短信或基于语音的MFA。SMS MFA仍然比没有MFA好得多。
