行業(yè)動(dòng)態(tài)

做好覺悟了嗎?棄用短信雙因素身份驗(yàn)證!

來源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2016-08-15    瀏覽次數(shù):
 

信息來源:企業(yè)網(wǎng)

美國國家標(biāo)準(zhǔn)技術(shù)研究所(NIST)計(jì)劃棄用基于短信的雙因素身份驗(yàn)證,而專家表示,這種改變?cè)缭撨M(jìn)行了。

日前,NIST發(fā)布了《數(shù)字身份驗(yàn)證指南(Digital Authentication Guideline)》的公開預(yù)覽草案,其中5.1.3.2部分規(guī)定如果雙因素身份驗(yàn)證(2FA)必須通過短信完成,核查人必須“確認(rèn)所使用的預(yù)登記電話號(hào)碼實(shí)際與手機(jī)網(wǎng)絡(luò)關(guān)聯(lián),而不是與VoIP(或其他基于軟件)服務(wù)關(guān)聯(lián)”,但“(帶外)使用短信已過時(shí),在本指南未來版本中將不再允許使用”。

NIST指出該版本被稱為“公開預(yù)覽版”,他們將該版本發(fā)布在GitHub,并向大家征求有關(guān)準(zhǔn)則和變化的意見,包括對(duì)短信2FA的改變。

專家普遍表示短信2FA已經(jīng)存在很久,對(duì)于身份驗(yàn)證,消費(fèi)者往往會(huì)選擇便利性而不是安全。短信2FA是身份驗(yàn)證最簡(jiǎn)單的方法,但這種驗(yàn)證確實(shí)帶來風(fēng)險(xiǎn),例如其他人可從鎖屏通知讀取2FA驗(yàn)證代碼。專家稱,替代身份驗(yàn)證方法(例如令牌和設(shè)備上身份驗(yàn)證應(yīng)用)將提供更好的安全性,但設(shè)置和部署更復(fù)雜且昂貴。

網(wǎng)絡(luò)安全供應(yīng)商Easy Solutions公司產(chǎn)品管理主管Damien Hugoo稱,這些準(zhǔn)則有一定意義,但有些姍姍來遲。

“根據(jù)報(bào)道,在很多攻擊中,短信都被最終用戶設(shè)備中的惡意軟件攔截。澳大利亞電信甚至在2012年宣稱短信用于銀行交易不安全,”Huggo稱,“在過去,美國機(jī)構(gòu)(例如FFIEC)并沒有明確提出抵制短信雙因素認(rèn)證,而是為安全起見推薦使用多層身份驗(yàn)證方法。這次終于明確棄用短信,這是一個(gè)大事件?!?/span>

通訊安全公司KoolSpan首席技術(shù)官Bill Supernor還表示,從短信雙因素帶來的安全威脅來看,NIST早就應(yīng)該棄用它。

“最大的風(fēng)險(xiǎn)是,攻擊者可通過觀察任何基于短信的身份驗(yàn)證,以及/或者生成自己的身份驗(yàn)證請(qǐng)求并重新定向,從而執(zhí)行有針對(duì)性中間人攻擊,”Supernor稱,“從本質(zhì)上講,這意味著攻擊者可以看到發(fā)送給用戶的驗(yàn)證碼。例如,攻擊者可以針對(duì)用戶銀行賬戶觸發(fā)密碼重置,并重定向短信驗(yàn)證碼到他們選擇的電話號(hào)碼?!?/span>

新的NIST指導(dǎo)方針聲明“如果沒有雙因素身份驗(yàn)證的情況,應(yīng)不可更改預(yù)登記電話號(hào)碼”,以試圖降低這一風(fēng)險(xiǎn)。

NIST指導(dǎo)方針覆蓋范圍

專家表示,雖然NIST指導(dǎo)方針可能主要針對(duì)美國聯(lián)邦政府內(nèi)使用,但往往會(huì)有更廣闊的覆蓋范圍。

惠普企業(yè)安全公司知名技術(shù)專家Luther Martin稱,NIST標(biāo)準(zhǔn)通常是“整個(gè)世界的事實(shí)標(biāo)準(zhǔn)”。

“美國政府的加密模塊安全標(biāo)準(zhǔn)可能是最好的例子,相應(yīng)ISO標(biāo)準(zhǔn)以及其他國家相應(yīng)標(biāo)準(zhǔn)基本上都只是NIST標(biāo)準(zhǔn)的復(fù)制或者翻譯,”Martin稱,“由于NIST正在計(jì)劃限制使用短信進(jìn)行身份驗(yàn)證,這可能會(huì)帶來顯著影響,并且很有可能對(duì)除美國聯(lián)邦政府的組織和企業(yè)帶來巨大影響?!?/span>

Supernor指出,這些變化可能產(chǎn)生深遠(yuǎn)影響,因?yàn)椤癗IST相當(dāng)有影響力,甚至超出政府市場(chǎng)范圍。”

“通常情況下,NIST提供的建議都是經(jīng)過深思熟慮,遵循他們的做法是個(gè)好主意,即使并不需要這樣做。如果商業(yè)機(jī)構(gòu)不遵循NIST標(biāo)準(zhǔn)或建議,那么他們將如履薄冰,”Supernor稱,“舉個(gè)例子,如果銀行因?yàn)槭褂枚绦刨~戶驗(yàn)證的欺詐活動(dòng)而遭受重大損失,那么,其保險(xiǎn)供應(yīng)商可指出該銀行沒有遵循適當(dāng)?shù)淖龇ǘ芙^理賠?!?/span>

Huggo稱,NIST指導(dǎo)方針通常也適用于金融機(jī)構(gòu)和醫(yī)療保健行業(yè)。

“美國的金融機(jī)構(gòu)會(huì)遵循FFIEC在身份驗(yàn)證方面的指導(dǎo)方針,但醫(yī)療保健行業(yè)及其他行業(yè)通常會(huì)遵守NIST,這是其HIPAA法規(guī)中的規(guī)定,”Huggo稱,“為了呼應(yīng)NIST對(duì)使用短信驗(yàn)證的警告,F(xiàn)FIEC近日更新了其零售支付服務(wù)手冊(cè),警告移動(dòng)金融服務(wù)對(duì)短信的使用。我估計(jì)FFIEC很快將更新其指導(dǎo)方針來反映最新的NIST更新。”

Rook Security公司安全運(yùn)營負(fù)責(zé)人Tom Gorup稱:“NIST在明確基本安全做法方面做得非常好;但是有時(shí)候,對(duì)于有些企業(yè)來說可能相當(dāng)繁瑣。企業(yè)可以使用NIST指導(dǎo)方針作為出發(fā)點(diǎn)?!?/span>

 
 

上一篇:2016年08月13日 聚銘安全速遞

下一篇:危害9億安卓設(shè)備高通漏洞細(xì)節(jié)曝光