聲明：該文章由作者（婭米）發(fā)表，轉(zhuǎn)載此文章須經(jīng)作者同意并請(qǐng)附上出處(0XUCN)及本頁鏈接。。

身為微軟身份安全總監(jiān)的Alex Weinert寫了一篇博客文章，強(qiáng)調(diào)了擺脫基于公共交換電話網(wǎng)絡(luò)（PSTN）的多因素認(rèn)證（MFA）機(jī)制的必要性。這位高管強(qiáng)調(diào)了基于PSTN的MFA系統(tǒng)存在安全隱患的各種理由，如短信和語音驗(yàn)證碼，他強(qiáng)調(diào)，MFA本身是必不可少的，只是人們使用它的方式應(yīng)該改變。

Weinert表示，基于PSTN的機(jī)制是目前最不安全的MFA方法，因?yàn)閷?shí)際上所有的利用技術(shù)，如網(wǎng)絡(luò)釣魚和賬戶接管等仍然可以借此進(jìn)行。一旦攻擊者將興趣轉(zhuǎn)移到破解MFA系統(tǒng)上，這種情況只會(huì)變得更糟，而這取決于公眾使用MFA系統(tǒng)的程度。此外，PSTN消息也不能適應(yīng)不同類型的用戶，所以通過它們進(jìn)一步提高安全性的潛力是有限的。

例如，攻擊者可以在大多數(shù)網(wǎng)絡(luò)上部署軟件來攔截基于PSTN的消息，意味著這又是一個(gè)獨(dú)特的攻擊面，對(duì)于惡意行為者來說是有利用價(jià)值的。

值得注意的是，大多數(shù)PSTN系統(tǒng)都有在線賬戶和豐富的客戶支持基礎(chǔ)設(shè)施支持。可悲的是，客戶支持代理很容易受到魅惑、脅迫、賄賂或敲詐。如果這些社會(huì)工程學(xué)攻擊成功，客戶支持可以提供對(duì)SMS或語音通道的訪問。雖然社會(huì)工程攻擊也會(huì)影響電子郵件系統(tǒng)，但主要的電子郵件系統(tǒng)（如Outlook、Gmail）擁有更發(fā)達(dá)的 “肌肉”，可以通過其支持生態(tài)系統(tǒng)防止賬戶泄露。這就導(dǎo)致了從信息攔截、呼叫轉(zhuǎn)發(fā)攻擊到SIM卡劫持等一切問題。

不幸的是，PSTN系統(tǒng)并不是100%可靠，報(bào)告也不是100%一致。這取決于地區(qū)和運(yùn)營商，但消息到最終接收人那里的路徑可能會(huì)影響它需要多長(zhǎng)時(shí)間才能得到，以及是否完全得到它。在某些情況下，運(yùn)營商會(huì)在投遞失敗時(shí)報(bào)告投遞情況，而在另一些情況下，消息的投遞可能需要足夠長(zhǎng)的時(shí)間，以至于用戶認(rèn)為消息已經(jīng)無法通過。在一些地區(qū)，投遞率甚至低至50%。MFA提供商沒有實(shí)時(shí)信號(hào)反饋來提示問題的出現(xiàn)，只能依靠統(tǒng)計(jì)完成率或服務(wù)臺(tái)電話來發(fā)現(xiàn)問題，這意味著向用戶提供替代方案或警告問題的信號(hào)難以提供。

不僅如此，監(jiān)管方面，有關(guān)短信和通話的規(guī)定變化很快，而且各地區(qū)的規(guī)定也不盡相同，當(dāng)使用基于PSTN的MFA系統(tǒng)時(shí)，可能會(huì)導(dǎo)致中斷。

（消息來源：cnBeta；封面來自網(wǎng)絡(luò)）

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級(jí)服務(wù)市場(chǎng)：https://www.ijiandao.com/