以短信接收多因素验证的安全事件频传,微软本周再呼吁用户停用短信、语音形式的多因素验证(Multi-Factor Authentication, MFA),改用App或硬件式的验证方案。
微软身份安全产品总监Alex Weinert指出,破解MFA保护的账号成本很高,攻击者一般没有动机,这让使用MFA的账号被黑的比例小于0.1%。但是使用电话网络(PSTN)服务,像是短信和语音来发送OTP验证码则是另一回事。现有窃取账号密码的攻击,几乎都可用在PSTN发送的OTP,包括社交工程、设备窃取、账号绑架攻击。
Weinert枚举短信的种种缺点,包括因电信网络问题常寄丢,以及各地区电信法规对短信规定不一致及经常变动,导致频繁发送错误。但最严重的问题是安全性。短信仅能最多容纳160字符,过于基本的消息令用户无法判断真伪,而成为钓鱼短信受害者。而为了支持众多设备,短信格式无法太复杂,无法像电子邮件加入安全技术,像是加密、或是支持生物识别验证及FIDO。此外电信客服中心人员可能受到贿赂、胁迫或利诱,而允许向用户发送诈骗短信或诈骗电话,这类漏洞引发的安全问题包括密码拦截、转接(call forwarding)诈骗或SIM卡劫持(SIM swapping)等。
虽然仍然呼吁用户使用MFA,但基于短信和语音电话等PSTN服务的种种缺点,微软建议使用新一代技术,像是App式或是无密码验证方案如生物识别或FIDO- based硬件密钥等。
事实上,美国政府早在2016年就已呼吁金融等网络服务供应商不要使用短信OTP方案,推特、脸书也从去年不再强制用户使用短信为基础的双重验证。
除了硬件密钥或App方案外,苹果提出新式OTP短信格式来解决现有钓鱼短信问题,也获得了Google的支持。