《數字身份驗證指南》草案中提議禁用基於簡訊的雙因子認證
美國國家標準和技術協會(NIST)釋出了《數字身份驗證指南(DAG)》的最新草案,其中暗示將來會禁用基於簡訊的雙因子認證方案(2FA)。
《數字身份驗證指南(DAG)》是一系列用於軟體商構建安全服務的規則,也被政府和私人機構用於評估其服務和軟體的安全性。
NIST 的專家們一直不斷地更新該指南,以便應對 IT 領域的快速變化。
基於簡訊的雙因子認證仍然可以用,但是不會太久了
據最新的《數字身份驗證指南》草案,NIST 正式地不建議公司繼續使用基於簡訊的認證,甚至說將來考慮在該指南中將基於簡訊的雙因子認證視作不安全的。NIST 在該草案中說:
“如果使用基於公共行動電話網路的簡訊作為帶外驗證,驗證者必須驗證其預註冊的手機號碼是基於行動網路的,而非 VoIP(或者其它基於軟體的),然後才能傳送簡訊到預註冊手機號碼。修改預註冊手機號碼時如果沒有雙因子驗證是不能進行的。不推薦使用簡訊進行帶外驗證,本指南的將來版本中將不再允許這種方式。”
NIST 的指南當中認為基於簡訊的雙因子認證是不安全的,因為使用者不會總是帶著電話。
在該指南中,推薦軟體應用應該使用令牌和軟體加密驗證器,這可能是手機應用或硬體裝置的形式,但是就像手機一樣,也可能被偷走或“臨時借走”。但該指南認為這種風險是可接受的,而不像令牌或軟體加密驗證器那樣,簡訊在 VoIP 服務之下是一個影響到了聯合信任因子的缺陷。
簡訊是不安全的,特別是在 VoIP 連線下
因為一些 VoIP 服務允許劫持簡訊,所以 NIST 建議廠商在基於簡訊的雙因子系統在傳送簡訊驗證碼之前,對使用 VoIP 連線的訪問進行特別檢查。
簡訊是一個廣泛使用的不安全協議,僅在上週,Context Information Security 的安全研究人員就披露了又一起依賴於簡訊協議而危及到了其使用者和裝置的攻擊。隨著對這種攻擊型別的越來越多的研究,軟體廠商、公司以及使用者會逐漸認識到應該換到更安全的驗證方式上。
當前的 NIST 指南仍在討論之中,但是基本上可以確定,該指南的將來版本不會再將使用基於簡訊的認證方式推薦為帶外驗證的安全方式。
生物識別技術是一個新興發展方向
在該指南草案中,也提到了生物特徵識別技術在特定條件下是可以作為一個驗證方式的:
“因此,對生物識別技術的驗證是支援的,只需要遵循如下準則:生物識別技術應該與其他(你知道的或你擁有的)認證因子配合使用。”
相關文章
- 多因子認證是什麼意思?與雙因子認證有什麼區別?
- 【等保】等保測評中雙因素認證是什麼意思?等於雙因子認證嗎?
- Kubernetes客戶端認證——基於CA證書的雙向認證方式客戶端
- node實現基於token的身份驗證
- C++身份核驗介面程式碼、身份證OCR、身份證實名認證APIC++API
- 在 Ubuntu 和 Debian 上啟用雙因子身份驗證的三種備選方案Ubuntu
- 身份證實名認證介面的價格一般是多少呢?基於PHP身份核驗介面PHP
- Java身份證實名認證、身份證識別介面讓您認證任性的“懶”Java
- C++批次核驗身份證真偽、實名認證介面、身份證識別C++
- 分散式技術的基礎應用:數字貨幣和身份認證分散式
- 簡單的數字驗證碼破解
- app直播原始碼,登入時輸入驗證碼、簡訊驗證身份APP原始碼
- 基於區塊鏈的身份認證系統開發區塊鏈
- 理解ASP.NET Core - 基於Cookie的身份認證(Authentication)ASP.NETCookie
- 理解ASP.NET Core - 基於JwtBearer的身份認證(Authentication)ASP.NETJWT
- 一個簡單的身份證校驗
- Javascript使用正則驗證身份證號(簡單)JavaScript
- 在 Fedora 上為 SSH 設定雙因子驗證
- 增強版實名認證介面-Java身份證實名認證介面程式碼-身份認證Java
- 身份證驗證工具類
- 數字證書認證(CA)中心
- 簡聊 Session 與 Token 身份驗證Session
- 一文讀懂Https的安全性原理、數字證書、單項認證、雙項認證等HTTP
- PHP 驗證身份證號碼PHP
- C++身份證號驗證C++
- 入行數字IC驗證的一些建議
- 【認證與授權】2、基於session的認證方式Session
- js驗證數字JS
- Java身份證實名認證介面解鎖認證新速度Java
- 免費實名認證介面python語言-身份核驗-身份證二、三要素Python
- 簡訊提交驗證
- 統一身份認證系統的簡單看法
- SpringBoot專案新增2FA雙因素身份認證Spring Boot
- Linux中為SSH啟用雙因素身份驗證Linux
- js正則驗證身份證號JS
- python - 驗證身份證合法性Python
- 中國身份證號驗證庫
- 實驗二 網路嗅探與身份認證