開幕が面白いので選びました。
Voice calls have proved to be the least secure authentication method; there are far better ways of performing multifactor authentication (MFA), including Microsoft Authenticator (which offers both MFA and Passwordless options), or more secure phishing-resistant methods like Windows Hello for Business and FIDO2 security keys.
Voice calls have proved to be the least secure authentication method
ボイスコール(電話が掛かってきて、#を押せと言われるので押したらログインできる機能)はもっとも安全性の低い認証性であることは明らかである;
で、 ; 以下はもっといい方法があるという解説です。
MS的にはその良い方法(Microsoft Authenticator、Windows Hello for Business 、 FIDO2 security keys.等)を強く推奨していますが、そういうのが使えないユーザー向けに「音声でOTPが送られてくるのでそれを入力する」ような機能を実装する予定とのことです。実装は8月ぐらいから。
なお、そもそもですがMS(というか他のIT製品もですが)としては、パスワードはかなりセキュリティ的には弱いものという扱いで、パスワードに加えて何らかの認証方法を付けるべきであるという流れがあり、その認証方法にも安全等級があるという感じですね。
ボイスがセキュリティ的に弱いというのはなんとなく盗み聞き出来るから弱い、と思うかもしれませんが、文中のブログにかかれている通り「SMSと音声はPSTN(公衆交換電話網)を使うから脆弱性がある」、というのが弱い原因です。
詳細は省きますが、技術的及びソーシャルエンジニアリング的な理由でかなり抜きやすいもののようです。
まあ本アップデートでちょっとはセキュリティ的に強くなるかもしれませんが、MS的にはMicrosoft Authenticatorぐらいはいれておくことを激しく推奨とのことです。
1 Response
[…] MC611686 Introducing Voice One Time Password (OTP) […]