软餐(ruancan.com)获悉,日前,微软敦促用户不要使用在使用手机消息进行两步验证,尤其是短信和语音消息。微软称它们很容易被不法拦截。建议用户转用身份验证应用来替代它们。
微软身份安全和保护负责人 Alex Weinert 表示,多因素身份验证阻止了 99%针对微软帐户的网络钓鱼和黑客攻击。Weinert 提倡远离 SMS 和 “语音” 作为两步验证方法。他在博客文章中写道:“这些机制基于公共电话交换网或 pstns,我认为这是目前最不安全的 2fa 方法。”
Weinert 称,可以通过网络钓鱼,社交工程,帐户接管和设备盗窃来完成对账户的窃取。
Weinert 还说,开发 SMS 和语音协议时,它们的设计没有加密。从实用性的角度来看,我们无法将加密覆盖在这些协议上。这意味着,任何可以访问交换网络或在设备的无线电范围内的人都可以截获它们。而身份验证应用程序不同,身份验证应用程序的代码通常仅有效三十秒钟。
Weinert 推荐 Microsoft Authenticator(微软验证器),用户可在不同的服务上使用任何种类的身份验证应用程序。
从谷歌 Play 商店下载 Microsoft Authenticator(微软验证器)
从苹果 App Store 下载 Microsoft Authenticator(微软验证器)