身為微軟身份安全總監(jiān)的Alex Weinert寫了一篇博客文章�,強(qiáng)調(diào)了擺脫基于公共交換電話網(wǎng)絡(luò)(PSTN)的多因素認(rèn)證(MFA)機(jī)制的必要性���。這位高管強(qiáng)調(diào)了基于PSTN的MFA系統(tǒng)存在安全隱患的各種理由����,如短信和語音驗證碼,他強(qiáng)調(diào)��,MFA本身是必不可少的�,只是人們使用它的方式應(yīng)該改變���。
Weinert表示����,基于PSTN的機(jī)制是目前最不安全的MFA方法��,因為實際上所有的利用技術(shù)�,如網(wǎng)絡(luò)釣魚和賬戶接管等仍然可以借此進(jìn)行。一旦攻擊者將興趣轉(zhuǎn)移到破解MFA系統(tǒng)上����,這種情況只會變得更糟,而這取決于公眾使用MFA系統(tǒng)的程度�����。此外,PSTN消息也不能適應(yīng)不同類型的用戶��,所以通過它們進(jìn)一步提高安全性的潛力是有限的����。
例如,攻擊者可以在大多數(shù)網(wǎng)絡(luò)上部署軟件來攔截基于PSTN的消息��,意味著這又是一個獨特的攻擊面����,對于惡意行為者來說是有利用價值的。
值得注意的是����,大多數(shù)PSTN系統(tǒng)都有在線賬戶和豐富的客戶支持基礎(chǔ)設(shè)施支持?��?杀氖?����,客戶支持代理很容易受到魅惑����、脅迫、賄賂或敲詐�。如果這些社會工程學(xué)攻擊成功,客戶支持可以提供對SMS或語音通道的訪問���。雖然社會工程攻擊也會影響電子郵件系統(tǒng)�����,但主要的電子郵件系統(tǒng)(如Outlook��、Gmail)擁有更發(fā)達(dá)的 "肌肉"��,可以通過其支持生態(tài)系統(tǒng)防止賬戶泄露。這就導(dǎo)致了從信息攔截�、呼叫轉(zhuǎn)發(fā)攻擊到SIM卡劫持等一切問題。
不幸的是����,PSTN系統(tǒng)并不是100%可靠,報告也不是100%一致�����。這取決于地區(qū)和運營商�,但消息到最終接收人那里的路徑可能會影響它需要多長時間才能得到��,以及是否完全得到它���。在某些情況下,運營商會在投遞失敗時報告投遞情況����,而在另一些情況下,消息的投遞可能需要足夠長的時間�,以至于用戶認(rèn)為消息已經(jīng)無法通過。在一些地區(qū)���,投遞率甚至低至50%��。MFA提供商沒有實時信號反饋來提示問題的出現(xiàn)���,只能依靠統(tǒng)計完成率或服務(wù)臺電話來發(fā)現(xiàn)問題,這意味著向用戶提供替代方案或警告問題的信號難以提供�����。
不僅如此�,監(jiān)管方面,有關(guān)短信和通話的規(guī)定變化很快����,而且各地區(qū)的規(guī)定也不盡相同���,當(dāng)使用基于PSTN的MFA系統(tǒng)時,可能會導(dǎo)致中斷�。
展望未來,Weinert建議人們利用基于應(yīng)用程序的MFA認(rèn)證���,如各大科技廠商推出的基于設(shè)備上隨機(jī)產(chǎn)生驗證碼的Authenticator�����,因為它幾乎解決了他的博客文章中強(qiáng)調(diào)的PSTN系統(tǒng)的所有問題����。
文章來源于網(wǎng)絡(luò)��,如有侵權(quán)請聯(lián)系刪除�����。
