マイクロソフトがSMSと音声ベースの認証の使用をやめさせたい理由はここにあります
最近のブログ投稿で、MicrosoftのIdentitySecurityのディレクターであるAlexWeinartは、一見少し物議をかもしているように見えるかもしれない意見を表明しました。 Weinartは、SMSと音声ベースの多要素認証サービスはMFAに関して最も安全性の低いオプションであると主張しました。
私たちは通常、テキストメッセージが多要素認証を実装するための絶対確実で非常に安全な方法であると考えたいのですが、Weinartは、人々が問題について考えるときに一般的に考慮しないいくつかの興味深い点を提起しました。
ワイナートが彼のブログ投稿で指摘していることはすべて、SMSと音声ベースのMFAの性質に関連しており、それは公衆交換電話網またはPSTNの関与です。 Weinartによると、PSTNシステムは100%完全に信頼できるわけではなく、メッセージが必要なときに正確に届かないか、遅れる可能性があります。
彼が言及したもう1つのことは、PSTNに依存する多要素認証は技術の進歩に追いつくことができず、ユーザーのエクスペリエンスに対する期待に応えられないことが多いということでした。
さらに、規制の地域レベルまたは連邦レベルのさまざまな変更により、SMSおよび電話を配信する企業の能力が変化し、以前は機能していたMFAメソッドが機能しなくなったり維持が困難になったりする可能性があります。
最後に、Weinartは、SMSと電話の両方に本質的に暗号化がなく、さまざまなハードウェアとマルウェアを使用してそれらを傍受することが技術的に可能であると述べています。
もちろん、これは人々がMFAの使用をやめるべきだという意味ではありません。それどころか、Weinartは、可能な限りMFAを使用することの重要性と、MFAがもたらすセキュリティ上の利点を強調しました。ただし、彼のアドバイスは、SMSや音声ベースのサービスの代わりにアプリケーションを使用することに焦点を当てていました。
結局のところ、通常のユーザーは、サービスが提供するMFAオプションにのみ依存できます。アプリケーションを使用するかテキストメッセージを使用するかの決定は、最終的にはサービスプロバイダーの手に委ねられ、顧客とエンドユーザーは提供されているものだけを使用できます。