Alex Weinert ผู้อำนวยการฝ่าย Identity Security ของไมโครซอฟท์เขียนบล็อกถึงการยืนยันตัวตนผู้ใช้ที่ไม่ต้องอาศัยรหัสผ่านเพียงอย่างเดียว แต่อาศัยการล็อกอินหลายขั้นตอนที่ช่วยลดความเสี่ยงให้ผู้ใช้เป็นอย่างมาก แต่เขาแสดงถึงข้อเสียของการยืนยันตัวตนด้วยเครือข่ายโทรศัพท์ทั้งการโทรหาผู้ใช้และการส่ง SMS ว่ามีปัญหาหลายประการ เช่นการส่งข้อความยาวๆ ก็ทำได้ยาก หรือส่งในรูปแบบใหม่ๆ ก็ทำไม่ได้

Alex ชี้ปัญหาว่า SMS ยังไม่ได้ถูกเข้ารหัส แฮกเกอร์ที่เข้าถึงสวิตช์ของเครือข่ายได้ หรือดักฟังจากสัญญาณวิทยุเมื่ออยู่ในบริเวณเดียวกับผู้รับก็ทำได้ ไปจนถึงการโจมตีที่เครือข่าย SS7 ที่ทำให้แฮกเกอร์อยู่ห่างออกไปไกลมากๆ ก็ยังดักเอาข้อความได้ ไปจนถึงการหลอกพนักงานเครือข่ายโทรศัพท์ให้บอกข้อความล่าสุด

ปัญหาอีกอย่างหนึ่งคือ SMS มีสแปมสูงมากจนกระทั่งมีกฎหมายออกมารับมือรูปแบบต่างๆ กันไป ทำให้ส่งข้อความหาผู้ใช้บางคนไม่ได้ ขณะที่บางเครือข่ายประสิทธิภาพไม่ดีพอก็มีอัตราการส่งล้มเหลวถึง 50% โดยที่ผู้ส่งไม่สามารถตรวจสอบได้เลยว่าส่งสำเร็จหรือไม่

Alex แสดงความเชื่อมั่นว่าการใช้ Microsoft Authenticator นั้นดีกว่ามาก สามารถแจ้งเตือนผู้ใช้ได้ว่ามีการล็อกอินแล้ว กระบวนการติดต่อกับเซิร์ฟเวอร์ไมโครซอฟท์ก็เข้ารหัสตลอดเวลา

ที่มา - Tech Community

ภาพโดย terimakasih0