做好觉悟了吗?弃用短信双因素身份验证!

日期: 2016-08-11 作者:Michael Heller翻译:邹铮 来源:TechTarget中国 英文

美国国家标准技术研究所(NIST)计划弃用基于短信的双因素身份验证,而专家表示,这种改变早该进行了。

日前,NIST发布了《数字身份验证指南(Digital Authentication Guideline)》的公开预览草案,其中5.1.3.2部分规定如果双因素身份验证(2FA)必须通过短信完成,核查人必须“确认所使用的预登记电话号码实际与手机网络关联,而不是与VoIP(或其他基于软件)服务关联”,但“(带外)使用短信已过时,在本指南未来版本中将不再允许使用”。

NIST指出该版本被称为“公开预览版”,他们将该版本发布在GitHub,并向大家征求有关准则和变化的意见,包括对短信2FA的改变。

专家普遍表示短信2FA已经存在很久,对于身份验证,消费者往往会选择便利性而不是安全。短信2FA是身份验证最简单的方法,但这种验证确实带来风险,例如其他人可从锁屏通知读取2FA验证代码。专家称,替代身份验证方法(例如令牌和设备上身份验证应用)将提供更好的安全性,但设置和部署更复杂且昂贵。

网络安全供应商Easy Solutions公司产品管理主管Damien Hugoo称,这些准则有一定意义,但有些姗姗来迟。

“根据报道,在很多攻击中,短信都被最终用户设备中的恶意软件拦截。澳大利亚电信甚至在2012年宣称短信用于银行交易不安全,”Huggo称,“在过去,美国机构(例如FFIEC)并没有明确提出抵制短信双因素认证,而是为安全起见推荐使用多层身份验证方法。这次终于明确弃用短信,这是一个大事件。”

通讯安全公司KoolSpan首席技术官Bill Supernor还表示,从短信双因素带来的安全威胁来看,NIST早就应该弃用它。

“最大的风险是,攻击者可通过观察任何基于短信的身份验证,以及/或者生成自己的身份验证请求并重新定向,从而执行有针对性中间人攻击,”Supernor称,“从本质上讲,这意味着攻击者可以看到发送给用户的验证码。例如,攻击者可以针对用户银行账户触发密码重置,并重定向短信验证码到他们选择的电话号码。”

新的NIST指导方针声明“如果没有双因素身份验证的情况,应不可更改预登记电话号码”,以试图降低这一风险。

NIST指导方针覆盖范围

专家表示,虽然NIST指导方针可能主要针对美国联邦政府内使用,但往往会有更广阔的覆盖范围。

惠普企业安全公司知名技术专家Luther Martin称,NIST标准通常是“整个世界的事实标准”。

“美国政府的加密模块安全标准可能是最好的例子,相应ISO标准以及其他国家相应标准基本上都只是NIST标准的复制或者翻译,”Martin称,“由于NIST正在计划限制使用短信进行身份验证,这可能会带来显著影响,并且很有可能对除美国联邦政府的组织和企业带来巨大影响。”

Supernor指出,这些变化可能产生深远影响,因为“NIST相当有影响力,甚至超出政府市场范围。”

“通常情况下,NIST提供的建议都是经过深思熟虑,遵循他们的做法是个好主意,即使并不需要这样做。如果商业机构不遵循NIST标准或建议,那么他们将如履薄冰,”Supernor称,“举个例子,如果银行因为使用短信账户验证的欺诈活动而遭受重大损失,那么,其保险供应商可指出该银行没有遵循适当的做法而拒绝理赔。”

Huggo称,NIST指导方针通常也适用于金融机构和医疗保健行业。

“美国的金融机构会遵循FFIEC在身份验证方面的指导方针,但医疗保健行业及其他行业通常会遵守NIST,这是其HIPAA法规中的规定,”Huggo称,“为了呼应NIST对使用短信验证的警告,FFIEC近日更新了其零售支付服务手册,警告移动金融服务对短信的使用。我估计FFIEC很快将更新其指导方针来反映最新的NIST更新。”

Rook Security公司安全运营负责人Tom Gorup称:“NIST在明确基本安全做法方面做得非常好;但是有时候,对于有些企业来说可能相当繁琐。企业可以使用NIST指导方针作为出发点。”

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

翻译

邹铮
邹铮

相关推荐

  • 抢先看:DHS和NIST发布IoT安全指南

    在一系列利用IoT设备默认安全设置的大规模分布式拒绝服务攻击发生后,美国两个政府机构发布了有关IoT安全的安全指导文件……

  • 下一代安全工具:SHA-3

    美国国家标准与技术研究所(NIST)在今年8月公布了安全哈希算法3(Secure Hash Algorithm-3,SHA-3),并称其为保护电子信息完整性的下一代安全工具。那么,它会是吗?

  • NIST SP800-82:ICS指南的发展史(二)

    SP800-82系列的发展是怎样的?修订版2已经出来,但800-82是从何而来?是谁的想法带来了这一系列非常有用的指南?是什么在推动NIST专注于ICS安全性?

  • NIST SP800-82:ICS指南的发展史(一)

    SP800-82系列的发展是怎样的?修订版2已经出来,但800-82是从何而来?是谁的想法带来了这一系列非常有用的指南?是什么在推动NIST专注于ICS安全性?