It's Time to Hang Up on Phone Transports for Authentication
CRANK

In my blog Your Pa$$word doesn't matter, I laid out the key password vulnerabilities, and in response to a gazillion “but other creds can be compromised, too” DMs and emails, I wrote All our creds are belong to us, where I outlined vulnerabilities in credentials other than passwords and highlighted ...

techcommunity.microsoft.com
Related Topics: Security
1 comments
  • Atsushi Shimono
    @himorin

    MFAでの認証への追加の要素としてSMSやvoice送信を行って入力させるという手段はいい加減に破棄しろ、というMicrosoftのIdentity系blog。
    日本国内だとそこまでSIM swappingというのは耳にしないけれども、かなり広範で深刻な被害が出てる、ということなんでしょうねぇ。それ以外も含めて合計7個の理由を挙がってますが。
    SMSとかを使ってるサービスは信用しちゃならんってのがいい加減デフォルトになった時代なんでしょうね。