《數字身份驗證指南》草案中提議禁用基於簡訊的雙因子認證

Catalin Cimpanu發表於2022-11-27

美國國家標準和技術協會National Institute of Standards and Technology(NIST)釋出了《數字身份驗證指南Digital Authentication Guideline(DAG)》的最新草案,其中暗示將來會禁用基於簡訊的雙因子認證方案Two-Factor Authentication(2FA)。

數字身份驗證指南Digital Authentication Guideline(DAG)》是一系列用於軟體商構建安全服務的規則,也被政府和私人機構用於評估其服務和軟體的安全性。

NIST 的專家們一直不斷地更新該指南,以便應對 IT 領域的快速變化。

基於簡訊的雙因子認證仍然可以用,但是不會太久了

最新的《數字身份驗證指南》草案,NIST 正式地不建議公司繼續使用基於簡訊的認證,甚至說將來考慮在該指南中將基於簡訊的雙因子認證視作不安全的。NIST 在該草案中說:

“如果使用基於公共行動電話網路的簡訊作為帶外驗證,驗證者必須驗證其預註冊的手機號碼是基於行動網路的,而非 VoIP(或者其它基於軟體的),然後才能傳送簡訊到預註冊手機號碼。修改預註冊手機號碼時如果沒有雙因子驗證是不能進行的。不推薦使用簡訊進行帶外驗證,本指南的將來版本中將不再允許這種方式。”

NIST 的指南當中認為基於簡訊的雙因子認證是不安全的,因為使用者不會總是帶著電話。

在該指南中,推薦軟體應用應該使用令牌和軟體加密驗證器,這可能是手機應用或硬體裝置的形式,但是就像手機一樣,也可能被偷走或“臨時借走”。但該指南認為這種風險是可接受的,而不像令牌或軟體加密驗證器那樣,簡訊在 VoIP 服務之下是一個影響到了聯合信任因子的缺陷。

簡訊是不安全的,特別是在 VoIP 連線下

因為一些 VoIP 服務允許劫持簡訊,所以 NIST 建議廠商在基於簡訊的雙因子系統在傳送簡訊驗證碼之前,對使用 VoIP 連線的訪問進行特別檢查。

簡訊是一個廣泛使用的不安全協議,僅在上週,Context Information Security 的安全研究人員就披露了又一起依賴於簡訊協議而危及到了其使用者和裝置的攻擊。隨著對這種攻擊型別的越來越多的研究,軟體廠商、公司以及使用者會逐漸認識到應該換到更安全的驗證方式上。

當前的 NIST 指南仍在討論之中,但是基本上可以確定,該指南的將來版本不會再將使用基於簡訊的認證方式推薦為帶外驗證的安全方式。

生物識別技術是一個新興發展方向

在該指南草案中,也提到了生物特徵識別技術在特定條件下是可以作為一個驗證方式的:

“因此,對生物識別技術的驗證是支援的,只需要遵循如下準則:生物識別技術應該與其他(你知道的或你擁有的)認證因子配合使用。”

相關文章