情境示意圖,Photo by Maxim Ilyahov on Unsplash

以簡訊接收多因素驗證的安全事件頻傳,微軟本周再呼籲用戶停用簡訊、語音形式的多因素驗證(Multi-Factor Authentication, MFA),改用App或硬體式的驗證方案。

微軟身份安全產品總監Alex Weinert指出,破解MFA保護的帳號成本很高,攻擊者一般沒有動機,這讓使用MFA的帳號被駭的比例小於0.1%。但是使用電話網路(PSTN)服務,像是簡訊和語音來傳送OTP驗證碼則是另一回事。現有竊取帳號密碼的攻擊,幾乎都可用在PSTN傳送的OTP,包括社交工程、裝置竊取、帳號綁架攻擊。

Weinert列舉簡訊的種種缺點,包括因電信網路問題常寄丟,以及各地區電信法規對簡訊規定不一致及經常變動,導致頻繁寄送錯誤。但最嚴重的問題是安全性。簡訊僅能最多容納160字元,過於基本的訊息令用戶無法判斷真偽,而成為釣魚簡訊受害者。而為了支援眾多裝置,簡訊格式無法太複雜,無法像電子郵件加入安全技術,像是加密、或是支援生物辨識驗證及FIDO。此外電信客服中心人員可能受到賄賂、脅迫或利誘,而允許向用戶發送詐騙簡訊或詐騙電話,這類漏洞引發的安全問題包括密碼攔截、轉接(call forwarding)詐騙或SIM卡劫持(SIM swapping)等。

雖然仍然呼籲用戶使用MFA,但基於簡訊和語音電話等PSTN服務的種種缺點,微軟建議使用新一代技術,像是App式或是無密碼驗證方案如生物辨識或FIDO-based硬體金鑰等。

事實上,美國政府早在2016年就已呼籲金融等網路服務供應商不要使用簡訊OTP方案,推特、臉書也從去年不再強制用戶使用簡訊為基礎的雙因素驗證。

除了硬體金鑰或App方案外,蘋果提出新式OTP簡訊格式來解決現有釣魚簡訊問題,也獲得了Google的支持。


Advertisement

更多 iThome相關內容