美国国家标准技术研究所(NIST)计划弃用基于短信的双因素身份验证,而专家表示,这种改变早该进行了。
日前,NIST发布了《数字身份验证指南(Digital Authentication Guideline)》的公开预览草案,其中5.1.3.2部分规定如果双因素身份验证(2FA)必须通过短信完成,核查人必须“确认所使用的预登记电话号码实际与手机网络关联,而不是与VoIP(或其他基于软件)服务关联”,但“(带外)使用短信已过时,在本指南未来版本中将不再允许使用”。
NIST指出该版本被称为“公开预览版”,他们将该版本发布在GitHub,并向大家征求有关准则和变化的意见,包括对短信2FA的改变。
专家普遍表示短信2FA已经存在很久,对于身份验证,消费者往往会选择便利性而不是安全。短信2FA是身份验证最简单的方法,但这种验证确实带来风险,例如其他人可从锁屏通知读取2FA验证代码。专家称,替代身份验证方法(例如令牌和设备上身份验证应用)将提供更好的安全性,但设置和部署更复杂且昂贵。
网络安全供应商Easy Solutions公司产品管理主管Damien Hugoo称,这些准则有一定意义,但有些姗姗来迟。
“根据报道,在很多攻击中,短信都被最终用户设备中的恶意软件拦截。澳大利亚电信甚至在2012年宣称短信用于银行交易不安全,”Huggo称,“在过去,美国机构(例如FFIEC)并没有明确提出抵制短信双因素认证,而是为安全起见推荐使用多层身份验证方法。这次终于明确弃用短信,这是一个大事件。”
通讯安全公司KoolSpan首席技术官Bill Supernor还表示,从短信双因素带来的安全威胁来看,NIST早就应该弃用它。
“最大的风险是,攻击者可通过观察任何基于短信的身份验证,以及/或者生成自己的身份验证请求并重新定向,从而执行有针对性中间人攻击,”Supernor称,“从本质上讲,这意味着攻击者可以看到发送给用户的验证码。例如,攻击者可以针对用户银行账户触发密码重置,并重定向短信验证码到他们选择的电话号码。”
新的NIST指导方针声明“如果没有双因素身份验证的情况,应不可更改预登记电话号码”,以试图降低这一风险。
NIST指导方针覆盖范围
专家表示,虽然NIST指导方针可能主要针对美国联邦政府内使用,但往往会有更广阔的覆盖范围。
惠普企业安全公司知名技术专家Luther Martin称,NIST标准通常是“整个世界的事实标准”。
“美国政府的加密模块安全标准可能是最好的例子,相应ISO标准以及其他国家相应标准基本上都只是NIST标准的复制或者翻译,”Martin称,“由于NIST正在计划限制使用短信进行身份验证,这可能会带来显著影响,并且很有可能对除美国联邦政府的组织和企业带来巨大影响。”
Supernor指出,这些变化可能产生深远影响,因为“NIST相当有影响力,甚至超出政府市场范围。”
“通常情况下,NIST提供的建议都是经过深思熟虑,遵循他们的做法是个好主意,即使并不需要这样做。如果商业机构不遵循NIST标准或建议,那么他们将如履薄冰,”Supernor称,“举个例子,如果银行因为使用短信账户验证的欺诈活动而遭受重大损失,那么,其保险供应商可指出该银行没有遵循适当的做法而拒绝理赔。”
Huggo称,NIST指导方针通常也适用于金融机构和医疗保健行业。
“美国的金融机构会遵循FFIEC在身份验证方面的指导方针,但医疗保健行业及其他行业通常会遵守NIST,这是其HIPAA法规中的规定,”Huggo称,“为了呼应NIST对使用短信验证的警告,FFIEC近日更新了其零售支付服务手册,警告移动金融服务对短信的使用。我估计FFIEC很快将更新其指导方针来反映最新的NIST更新。”
Rook Security公司安全运营负责人Tom Gorup称:“NIST在明确基本安全做法方面做得非常好;但是有时候,对于有些企业来说可能相当繁琐。企业可以使用NIST指导方针作为出发点。”