微軟呼籲用戶別再用簡訊多因素驗證

以簡訊接收多因素驗證的安全事件頻傳，微軟本周再呼籲用戶停用簡訊、語音形式的多因素驗證（Multi-Factor Authentication, MFA），改用App或硬體式的驗證方案。

微軟身份安全產品總監Alex Weinert指出，破解MFA保護的帳號成本很高，攻擊者一般沒有動機，這讓使用MFA的帳號被駭的比例小於0.1%。但是使用電話網路（PSTN）服務，像是簡訊和語音來傳送OTP驗證碼則是另一回事。現有竊取帳號密碼的攻擊，幾乎都可用在PSTN傳送的OTP，包括社交工程、裝置竊取、帳號綁架攻擊。

Weinert列舉簡訊的種種缺點，包括因電信網路問題常寄丟，以及各地區電信法規對簡訊規定不一致及經常變動，導致頻繁寄送錯誤。但最嚴重的問題是安全性。簡訊僅能最多容納160字元，過於基本的訊息令用戶無法判斷真偽，而成為釣魚簡訊受害者。而為了支援眾多裝置，簡訊格式無法太複雜，無法像電子郵件加入安全技術，像是加密、或是支援生物辨識驗證及FIDO。此外電信客服中心人員可能受到賄賂、脅迫或利誘，而允許向用戶發送詐騙簡訊或詐騙電話，這類漏洞引發的安全問題包括密碼攔截、轉接（call forwarding）詐騙或SIM卡劫持（SIM swapping）等。

雖然仍然呼籲用戶使用MFA，但基於簡訊和語音電話等PSTN服務的種種缺點，微軟建議使用新一代技術，像是App式或是無密碼驗證方案如生物辨識或FIDO-based硬體金鑰等。

事實上，美國政府早在2016年就已呼籲金融等網路服務供應商不要使用簡訊OTP方案，推特、臉書也從去年不再強制用戶使用簡訊為基礎的雙因素驗證。

除了硬體金鑰或App方案外，蘋果提出新式OTP簡訊格式來解決現有釣魚簡訊問題，也獲得了Google的支持。