身為微軟身份安全總監的Alex Weinert寫了一篇博客文章,強調了擺脫基于公共交換電話網絡(PSTN)的多因素認證(MFA)機制的必要性。這位高管強調了基于PSTN的MFA系統存在安全隱患的各種理由,如短信和語音驗證碼,他強調,MFA本身是必不可少的,只是人們使用它的方式應該改變。
Weinert表示,基于PSTN的機制是目前最不安全的MFA方法,因為實際上所有的利用技術,如網絡釣魚和賬戶接管等仍然可以借此進行。一旦攻擊者將興趣轉移到破解MFA系統上,這種情況只會變得更糟,而這取決于公眾使用MFA系統的程度。此外,PSTN消息也不能適應不同類型的用戶,所以通過它們進一步提高安全性的潛力是有限的。
例如,攻擊者可以在大多數網絡上部署軟件來攔截基于PSTN的消息,意味著這又是一個獨特的攻擊面,對于惡意行為者來說是有利用價值的。
值得注意的是,大多數PSTN系統都有在線賬戶和豐富的客戶支持基礎設施支持。可悲的是,客戶支持代理很容易受到魅惑、脅迫、賄賂或敲詐。如果這些社會工程學攻擊成功,客戶支持可以提供對SMS或語音通道的訪問。雖然社會工程攻擊也會影響電子郵件系統,但主要的電子郵件系統(如Outlook、Gmail)擁有更發達的 "肌肉",可以通過其支持生態系統防止賬戶泄露。這就導致了從信息攔截、呼叫轉發攻擊到SIM卡劫持等一切問題。
不幸的是,PSTN系統并不是100%可靠,報告也不是100%一致。這取決于地區和運營商,但消息到最終接收人那里的路徑可能會影響它需要多長時間才能得到,以及是否完全得到它。在某些情況下,運營商會在投遞失敗時報告投遞情況,而在另一些情況下,消息的投遞可能需要足夠長的時間,以至于用戶認為消息已經無法通過。在一些地區,投遞率甚至低至50%。MFA提供商沒有實時信號反饋來提示問題的出現,只能依靠統計完成率或服務臺電話來發現問題,這意味著向用戶提供替代方案或警告問題的信號難以提供。
不僅如此,監管方面,有關短信和通話的規定變化很快,而且各地區的規定也不盡相同,當使用基于PSTN的MFA系統時,可能會導致中斷。
展望未來,Weinert建議人們利用基于應用程序的MFA認證,如各大科技廠商推出的基于設備上隨機產生驗證碼的Authenticator,因為它幾乎解決了他的博客文章中強調的PSTN系統的所有問題。
