在駭客技術日益提高的現在,多因素驗證( MFA )已經被視為登入帳戶的必要安全措施。一直以來包括銀行在內的機構都愛以 SMS 短訊來傳送 MFA 的一次性密碼,不過著名的 PaaS 平台 Heroku 早前就發出公告,通知用戶將會在今年 12 月取消 SMS 作為 MFA 工具,指 SMS 存在保安風險。
企業愛用 SMS 作為 MFA 工具主要是因為它有架設容易、用戶熟悉、手機系統支援等優點。不過早在 2017 年美國國家標準暨技術研究院 NIST 就發表過報告,指出安全研究人員已經證明了大規模重定向或攔截 SMS 短訊的成功率愈來愈高,雖然相對於只使用單獨密碼而言,密碼加短訊仍能加強對帳號保護,但就未達到 NIST 制訂的設備驗證機制所要求的強度。 SMS 的風險不僅在於手機被偷去,還包括發給用戶的短訊有可能在惡意分子沒有接觸用戶手機的情況下被截取。
NIST 建議企業淘汰 SMS 作驗證的第二要素而不是立即廢除,主要是考慮到企業升級現有保安系統的投資效益。而 Heroku 就沒有再向 2020 年以後註冊的新用戶提供 SMS 作 MFA 的選項,並宣布 2021 年全面廢除。他們在強烈建議用戶最少設定多一個後備驗證方法,以防止預設基本驗證方法失效時會無法登入。
對於一般用戶而言,如果你所使用的服務有提供 SMS 以外的 MFA 工具的話,就應該選用那種工具。
