信息來源:企業(yè)網(wǎng)
美國國家標(biāo)準(zhǔn)技術(shù)研究所(NIST)計(jì)劃棄用基于短信的雙因素身份驗(yàn)證����,而專家表示���,這種改變早該進(jìn)行了。
日前��,NIST發(fā)布了《數(shù)字身份驗(yàn)證指南(Digital Authentication Guideline)》的公開預(yù)覽草案�����,其中5.1.3.2部分規(guī)定如果雙因素身份驗(yàn)證(2FA)必須通過短信完成����,核查人必須“確認(rèn)所使用的預(yù)登記電話號碼實(shí)際與手機(jī)網(wǎng)絡(luò)關(guān)聯(lián),而不是與VoIP(或其他基于軟件)服務(wù)關(guān)聯(lián)”���,但“(帶外)使用短信已過時(shí)�����,在本指南未來版本中將不再允許使用”����。
NIST指出該版本被稱為“公開預(yù)覽版”��,他們將該版本發(fā)布在GitHub���,并向大家征求有關(guān)準(zhǔn)則和變化的意見����,包括對短信2FA的改變����。
專家普遍表示短信2FA已經(jīng)存在很久,對于身份驗(yàn)證�����,消費(fèi)者往往會選擇便利性而不是安全。短信2FA是身份驗(yàn)證最簡單的方法�����,但這種驗(yàn)證確實(shí)帶來風(fēng)險(xiǎn)�����,例如其他人可從鎖屏通知讀取2FA驗(yàn)證代碼��。專家稱�,替代身份驗(yàn)證方法(例如令牌和設(shè)備上身份驗(yàn)證應(yīng)用)將提供更好的安全性,但設(shè)置和部署更復(fù)雜且昂貴����。
網(wǎng)絡(luò)安全供應(yīng)商Easy Solutions公司產(chǎn)品管理主管Damien Hugoo稱,這些準(zhǔn)則有一定意義����,但有些姍姍來遲。
“根據(jù)報(bào)道��,在很多攻擊中���,短信都被最終用戶設(shè)備中的惡意軟件攔截��。澳大利亞電信甚至在2012年宣稱短信用于銀行交易不安全����,”Huggo稱����,“在過去,美國機(jī)構(gòu)(例如FFIEC)并沒有明確提出抵制短信雙因素認(rèn)證�����,而是為安全起見推薦使用多層身份驗(yàn)證方法�。這次終于明確棄用短信,這是一個(gè)大事件�����?��!?/span>
通訊安全公司KoolSpan首席技術(shù)官Bill Supernor還表示�,從短信雙因素帶來的安全威脅來看���,NIST早就應(yīng)該棄用它����。
“最大的風(fēng)險(xiǎn)是,攻擊者可通過觀察任何基于短信的身份驗(yàn)證��,以及/或者生成自己的身份驗(yàn)證請求并重新定向��,從而執(zhí)行有針對性中間人攻擊�,”Supernor稱,“從本質(zhì)上講����,這意味著攻擊者可以看到發(fā)送給用戶的驗(yàn)證碼。例如����,攻擊者可以針對用戶銀行賬戶觸發(fā)密碼重置,并重定向短信驗(yàn)證碼到他們選擇的電話號碼��?�!?/span>
新的NIST指導(dǎo)方針聲明“如果沒有雙因素身份驗(yàn)證的情況���,應(yīng)不可更改預(yù)登記電話號碼”�,以試圖降低這一風(fēng)險(xiǎn)。
NIST指導(dǎo)方針覆蓋范圍
專家表示���,雖然NIST指導(dǎo)方針可能主要針對美國聯(lián)邦政府內(nèi)使用���,但往往會有更廣闊的覆蓋范圍。
惠普企業(yè)安全公司知名技術(shù)專家Luther Martin稱����,NIST標(biāo)準(zhǔn)通常是“整個(gè)世界的事實(shí)標(biāo)準(zhǔn)”��。
“美國政府的加密模塊安全標(biāo)準(zhǔn)可能是最好的例子�,相應(yīng)ISO標(biāo)準(zhǔn)以及其他國家相應(yīng)標(biāo)準(zhǔn)基本上都只是NIST標(biāo)準(zhǔn)的復(fù)制或者翻譯,”Martin稱���,“由于NIST正在計(jì)劃限制使用短信進(jìn)行身份驗(yàn)證����,這可能會帶來顯著影響���,并且很有可能對除美國聯(lián)邦政府的組織和企業(yè)帶來巨大影響���?!?/span>
Supernor指出���,這些變化可能產(chǎn)生深遠(yuǎn)影響�,因?yàn)椤癗IST相當(dāng)有影響力���,甚至超出政府市場范圍����?���!?/span>
“通常情況下,NIST提供的建議都是經(jīng)過深思熟慮���,遵循他們的做法是個(gè)好主意���,即使并不需要這樣做。如果商業(yè)機(jī)構(gòu)不遵循NIST標(biāo)準(zhǔn)或建議�����,那么他們將如履薄冰�����,”Supernor稱,“舉個(gè)例子���,如果銀行因?yàn)槭褂枚绦刨~戶驗(yàn)證的欺詐活動而遭受重大損失���,那么,其保險(xiǎn)供應(yīng)商可指出該銀行沒有遵循適當(dāng)?shù)淖龇ǘ芙^理賠�����?!?/span>
Huggo稱�����,NIST指導(dǎo)方針通常也適用于金融機(jī)構(gòu)和醫(yī)療保健行業(yè)����。
“美國的金融機(jī)構(gòu)會遵循FFIEC在身份驗(yàn)證方面的指導(dǎo)方針,但醫(yī)療保健行業(yè)及其他行業(yè)通常會遵守NIST���,這是其HIPAA法規(guī)中的規(guī)定�,”Huggo稱,“為了呼應(yīng)NIST對使用短信驗(yàn)證的警告����,F(xiàn)FIEC近日更新了其零售支付服務(wù)手冊,警告移動金融服務(wù)對短信的使用���。我估計(jì)FFIEC很快將更新其指導(dǎo)方針來反映最新的NIST更新��?�!?/span>
Rook Security公司安全運(yùn)營負(fù)責(zé)人Tom Gorup稱:“NIST在明確基本安全做法方面做得非常好�����;但是有時(shí)候����,對于有些企業(yè)來說可能相當(dāng)繁瑣�。企業(yè)可以使用NIST指導(dǎo)方針作為出發(fā)點(diǎn)?��!?/span>
