Microsoft แนะให้ผู้ใช้งานที่เปิดใช้ Multi-factor Authentication (MFA) หาทางใช้ปัจจัยอื่นที่ดีกว่า SMS ทางโทรศัพท์หรือ Voice Call

มีผลวิจัยยืนยันแล้วว่า MFA สามารถช่วยให้บัญชีของผู้ใช้งานปลอดภัยในการโจมตีแบบอัตโนมัติได้ถึง 99.9% ดังนั้นหลายปีที่ผ่านมาจึงมีการเตือนกึ่งบังคับให้ผู้มีบัญชีออนไลน์ต่างๆ เปิดใช้งานฟีเจอร์นี้
ประเด็นก็คือการยืนยันตัวตนผ่าน SMS ของมือถือและ Voice Call นั้นไม่ได้ปลอดภัยอย่างที่คิด โดย Alex Weinert ผู้อำนวยการฝ่าย Identity Security ของ Microsoft ชี้แจงประเด็นไว้ดังนี้
- การส่ง SMS และการยืนยันด้วยเสียงบนเครือข่ายมือถือถูกส่งผ่าน Cleartext จึงสามารถถูกดักจับได้โดยง่ายด้วยเทคโนโลยีเช่น SD-Radio, FEMTO Cells หรือ SS7
- OTP บน SMS สามารถถูกหลอกได้ด้วยเครื่องมือโอเพ่นซอร์สเช่น Modlishka, CredSniper หรือ Evilginx
- พนักงานของผู้ให้บริการเองก็ยังสามารถถูกหลอกให้ทำบางอย่างได้ด้วยวิธีการเช่น Sim Swapping
- เมื่อเครือข่ายโทรศัพท์เกิดปัญหา การรับข้อมูลอาจไม่ทันการในเวลาที่กำหนด
จากเหตุผลทั้งหมดที่กล่าวมาแล้วจะเห็นได้ว่าวิธีการยืนยันตัวตนผ่าน SMS หรือ Voice Call ดูปลอดภัยน้อยที่สุด และเมื่อมีการใช้งาน MFA มากขึ้น คนร้ายก็จะมองหาช่องทางนี้แน่นอน ดังนั้นเบื้องต้นผู้ใช้ควรไปใช้แอปพลิเคชัน Authenticator หรือถ้าต้องการความปลอดภัยสูงขึ้นให้หา Hardware Security Key มาใช้กัน