Oto dlaczego firma Microsoft chce, abyś przestał korzystać z uwierzytelniania za pomocą wiadomości SMS i głosu
W niedawnym wpisie na blogu Alex Weinart, dyrektor firmy Microsoft ds. Bezpieczeństwa tożsamości, wyraził opinię, która na pierwszy rzut oka może wydawać się nieco kontrowersyjna. Weinart argumentował, że SMS i głosowe usługi uwierzytelniania wieloskładnikowego są najmniej bezpieczną opcją, jeśli chodzi o MFA.
Chociaż zazwyczaj lubimy myśleć, że wiadomości tekstowe są niezawodną i bardzo bezpieczną metodą implementacji uwierzytelniania wieloskładnikowego, Weinart poruszył kilka interesujących kwestii, których ludzie na ogół nie biorą pod uwagę, gdy myślą o problemie.
Wszystkie punkty, które Weinart porusza w swoim blogu, odnoszą się do natury SMS-ów i głosowej usługi MFA, a mianowicie do udziału publicznie komutowanych sieci telefonicznych lub PSTN. Według Weinart systemy PSTN nie są całkowicie niezawodne w 100% przypadków, a wiadomość może nie dotrzeć dokładnie w razie potrzeby lub zostać opóźniona.
Wspomniał także o tym, że uwierzytelnianie wieloskładnikowe oparte na sieci PSTN nie nadąża za postępem technologicznym i często może nie sprostać oczekiwaniom użytkownika dotyczącym doświadczenia.
Ponadto różne zmiany przepisów na szczeblu regionalnym lub federalnym mogą wpłynąć na zdolność firm do dostarczania wiadomości SMS i połączeń telefonicznych, co w efekcie sprawi, że wcześniej działająca metoda MFA nie będzie działać lub będzie trudna do utrzymania.
Na koniec Weinart wspomina, że zarówno SMS-y, jak i rozmowy telefoniczne z natury nie mają żadnego rodzaju szyfrowania i technicznie możliwe jest ich przechwycenie przy użyciu różnorodnego sprzętu i złośliwego oprogramowania.
Oczywiście nie oznacza to, że ludzie powinni przestać używać MFA. Wręcz przeciwnie, Weinart podkreślił znaczenie korzystania z usługi MFA, gdy tylko jest to możliwe, oraz korzyści w zakresie bezpieczeństwa, jakie przynosi. Jednak jego rady skupiały się na używaniu aplikacji zamiast SMS-ów lub usług głosowych.
Ostatecznie zwykły użytkownik może polegać tylko na tych opcjach MFA, jakie zapewnia im usługa. Decyzja o korzystaniu z aplikacji lub wiadomości tekstowych ostatecznie należy do usługodawcy, a klient i użytkownik końcowy mogą podejmować tylko to, co jest oferowane.