做好觉悟了吗?弃用短信双因素身份验证!

安全
美国国家标准技术研究所(NIST)计划弃用基于短信的双因素身份验证,而专家表示,这种改变早该进行了。

美国国家标准技术研究所(NIST)计划弃用基于短信的双因素身份验证,而专家表示,这种改变早该进行了。

[[169821]]

日前,NIST发布了《数字身份验证指南(Digital Authentication Guideline)》的公开预览草案,其中5.1.3.2部分规定如果双因素身份验证(2FA)必须通过短信完成,核查人必须“确认所使用的预登记电话号码实际与手机网络关联,而不是与VoIP(或其他基于软件)服务关联”,但“(带外)使用短信已过时,在本指南未来版本中将不再允许使用”。

NIST指出该版本被称为“公开预览版”,他们将该版本发布在GitHub,并向大家征求有关准则和变化的意见,包括对短信2FA的改变。

专家普遍表示短信2FA已经存在很久,对于身份验证,消费者往往会选择便利性而不是安全。短信2FA是身份验证最简单的方法,但这种验证确实带来风险,例如其他人可从锁屏通知读取2FA验证代码。专家称,替代身份验证方法(例如令牌和设备上身份验证应用)将提供更好的安全性,但设置和部署更复杂且昂贵。

网络安全供应商Easy Solutions公司产品管理主管Damien Hugoo称,这些准则有一定意义,但有些姗姗来迟。

“根据报道,在很多攻击中,短信都被最终用户设备中的恶意软件拦截。澳大利亚电信甚至在2012年宣称短信用于银行交易不安全,”Huggo称,“在过去,美国机构(例如FFIEC)并没有明确提出抵制短信双因素认证,而是为安全起见推荐使用多层身份验证方法。这次终于明确弃用短信,这是一个大事件。”

通讯安全公司KoolSpan首席技术官Bill Supernor还表示,从短信双因素带来的安全威胁来看,NIST早就应该弃用它。

“最大的风险是,攻击者可通过观察任何基于短信的身份验证,以及/或者生成自己的身份验证请求并重新定向,从而执行有针对性中间人攻击,”Supernor称,“从本质上讲,这意味着攻击者可以看到发送给用户的验证码。例如,攻击者可以针对用户银行账户触发密码重置,并重定向短信验证码到他们选择的电话号码。”

新的NIST指导方针声明“如果没有双因素身份验证的情况,应不可更改预登记电话号码”,以试图降低这一风险。

NIST指导方针覆盖范围

专家表示,虽然NIST指导方针可能主要针对美国联邦政府内使用,但往往会有更广阔的覆盖范围。

惠普企业安全公司知名技术专家Luther Martin称,NIST标准通常是“整个世界的事实标准”。

“美国政府的加密模块安全标准可能是最好的例子,相应ISO标准以及其他国家相应标准基本上都只是NIST标准的复制或者翻译,”Martin称,“由于NIST正在计划限制使用短信进行身份验证,这可能会带来显著影响,并且很有可能对除美国联邦政府的组织和企业带来巨大影响。”

Supernor指出,这些变化可能产生深远影响,因为“NIST相当有影响力,甚至超出政府市场范围。”

“通常情况下,NIST提供的建议都是经过深思熟虑,遵循他们的做法是个好主意,即使并不需要这样做。如果商业机构不遵循NIST标准或建议,那么他们将如履薄冰,”Supernor称,“举个例子,如果银行因为使用短信账户验证的欺诈活动而遭受重大损失,那么,其保险供应商可指出该银行没有遵循适当的做法而拒绝理赔。”

Huggo称,NIST指导方针通常也适用于金融机构和医疗保健行业。

“美国的金融机构会遵循FFIEC在身份验证方面的指导方针,但医疗保健行业及其他行业通常会遵守NIST,这是其HIPAA法规中的规定,”Huggo称,“为了呼应NIST对使用短信验证的警告,FFIEC近日更新了其零售支付服务手册,警告移动金融服务对短信的使用。我估计FFIEC很快将更新其指导方针来反映最新的NIST更新。”

Rook Security公司安全运营负责人Tom Gorup称:“NIST在明确基本安全做法方面做得非常好;但是有时候,对于有些企业来说可能相当繁琐。企业可以使用NIST指导方针作为出发点。”

责任编辑:蓝雨泪 来源: TechTarget中国
相关推荐

2010-04-20 10:00:29

2011-06-28 11:10:19

2022-05-07 13:19:24

GitHub2FA

2013-05-02 16:31:12

双因素身份验证微软

2011-05-04 17:06:46

2011-05-04 16:40:00

2023-10-17 15:17:04

2014-06-20 09:26:17

2019-05-07 08:15:21

2022-11-03 14:33:32

2022-08-02 07:13:33

MFA程序网络

2022-11-02 11:42:02

2021-08-03 14:48:05

ChromeAndroid身份验证

2014-10-30 09:14:28

2022-05-07 15:47:46

多因素身份验证密码

2021-11-08 09:04:11

黑客双因素身份验证2FA

2019-10-29 14:11:55

安全多因素身份验证智能

2021-11-04 15:10:45

多因素身份验证网络攻击身份验证

2012-10-10 09:35:27

2021-07-30 16:03:03

双因素认证2FA多因素认证
点赞
收藏

51CTO技术栈公众号