近日微软身份安全总监Alex Weinert认为，应避免依赖SMS和语音呼叫传递身份验证因素的多因素身份验证（MFA）。

但这并不是说应该避免MFA，而是应该选择更安全、更可靠的方法来实现多因素身份验证。

为什么基于SMS短信和语音的MFA是最不安全的选择

去年，Weinert指出，使用任何形式的MFA都比仅依靠密码来保证安全性要好，因为它显著增加了攻击者的成本，这就是为什么使用任何类型的MFA的账户被入侵的比率都小于0.1%的原因。

Weinert认为，但是通过公用电话交换网（PSTN）传递身份验证因素是最不安全的MFA方法，因为：

• 从实时角度来看，SMS和语音格式无法提供满意的用户体验，也无法跟上技术进步和攻击者行为的脚步；
• PSTN电话交换网系统不是100％可靠的，这意味着在需要时可能不会发出消息或呼叫；
• 法规变化可能会阻碍SMS的发送和拨打电话；
• SMS和电话的设计之初没有采用加密，可以被拦截（例如，通过软件定义的无线电、femotcell、SS7拦截服务、移动恶意软件、网络钓鱼工具等）；
• 攻击者可能会欺骗、贿赂或强迫运营公用电话交换网的公司的支持人员提供对受害者的SMS或语音通道的访问（例如，通过SIM交换攻击）。

MFA依然是必须的

多因素身份验证的价值不容置疑，但是随着越来越多的用户采用它，攻击者将尝试新的方法来获取所需的OTP身份验证代码。

Weinert建议用户在可能的情况下，从基于SMS短信和语音的MFA切换为使用基于应用程序的身份验证。自然，他认可了Microsoft Authenticator应用程序，但还有其他具有相同功能的应用程序（例如Google Authenticator、Cisco的Duo Mobile）和相同的保护功能（加密通信、更多控制等）。

还有其他MFA选项可用，其中一些选项可提供更高程度的安全性，以抵御远程攻击，例如智能卡或硬件安全密钥攻击者只有获取这些物理设备，才有可能访问安全账户。