NIST宣布計(jì)劃棄用基于短信的雙因素身份驗(yàn)證,因?yàn)檫@種方法帶來太多安全風(fēng)險(xiǎn)。這是否是正確的轉(zhuǎn)變?其他組織是否應(yīng)該向他們一樣,采用非短信雙因素身份驗(yàn)證作為最佳做法?
Mike Chapple:通過棄用基于短信的雙因素身份驗(yàn)證(2FA),美國國家標(biāo)準(zhǔn)與技術(shù)研究所(NIST)確實(shí)正在對(duì)其數(shù)字身份驗(yàn)證準(zhǔn)則進(jìn)行非常適當(dāng)?shù)恼{(diào)整。NIST最近發(fā)布了NIST Special Publication 800-63B草案,讓企業(yè)準(zhǔn)備好迎接將沒有這項(xiàng)技術(shù)的未來。
通常情況下,用戶會(huì)通過輸入用戶名和密碼在系統(tǒng)或服務(wù)完成初始身份驗(yàn)證,而將短信雙因素身份驗(yàn)證用作額外的帶外身份驗(yàn)證。用戶的手機(jī)會(huì)收到包含代碼的短信或者SMS,用戶必須將代碼輸入系統(tǒng)來完成身份驗(yàn)證過程。這種手機(jī)通信使用與用戶名及密碼驗(yàn)證不同的帶外信道。
然而,這種短信驗(yàn)證方法具有固有的缺陷。在這種方法中,代碼作為鎖定屏幕通知發(fā)送,無需解鎖手機(jī)屏幕或者進(jìn)一步輸入安全碼即可查看該驗(yàn)證代碼。此外,如果用戶發(fā)送代碼到IP語音號(hào)碼,攻擊者可通過攻擊用戶的VoIP賬戶來竊聽網(wǎng)絡(luò)通信或甚至重新將短信路由到另一設(shè)備上。
NIST并沒有說短信雙重認(rèn)證不適用,但他們表明,未來版本的NIST指南及標(biāo)準(zhǔn)可能不會(huì)允許使用短信雙重驗(yàn)證。當(dāng)前在使用短信雙重驗(yàn)證的用戶必須驗(yàn)證發(fā)送短信的電話號(hào)碼,直接連接公共移動(dòng)電話網(wǎng)絡(luò)中的電話號(hào)碼,而不是通過VoIP服務(wù)。
雖然NIST智能對(duì)美國政府機(jī)構(gòu)和承包商強(qiáng)制執(zhí)行其標(biāo)準(zhǔn),但非短信雙因素身份驗(yàn)證是全球企業(yè)都應(yīng)該計(jì)劃部署的較好的安全做法。
京公網(wǎng)安備 11010502049343號(hào)