做好觉悟了吗?弃用短信双因素身份验证!

简介:

美国国家标准技术研究所(NIST)计划弃用基于短信的双因素身份验证,而专家表示,这种改变早该进行了。

做好觉悟了吗?弃用短信双因素身份验证!

日前,NIST发布了《数字身份验证指南(Digital Authentication Guideline)》的公开预览草案,其中5.1.3.2部分规定如果双因素身份验证(2FA)必须通过短信完成,核查人必须“确认所使用的预登记电话号码实际与手机网络关联,而不是与VoIP(或其他基于软件)服务关联”,但“(带外)使用短信已过时,在本指南未来版本中将不再允许使用”。

NIST指出该版本被称为“公开预览版”,他们将该版本发布在GitHub,并向大家征求有关准则和变化的意见,包括对短信2FA的改变。

专家普遍表示短信2FA已经存在很久,对于身份验证,消费者往往会选择便利性而不是安全。短信2FA是身份验证最简单的方法,但这种验证确实带来风险,例如其他人可从锁屏通知读取2FA验证代码。专家称,替代身份验证方法(例如令牌和设备上身份验证应用)将提供更好的安全性,但设置和部署更复杂且昂贵。

网络安全供应商Easy Solutions公司产品管理主管Damien Hugoo称,这些准则有一定意义,但有些姗姗来迟。

“根据报道,在很多攻击中,短信都被最终用户设备中的恶意软件拦截。澳大利亚电信甚至在2012年宣称短信用于银行交易不安全,”Huggo称,“在过去,美国机构(例如FFIEC)并没有明确提出抵制短信双因素认证,而是为安全起见推荐使用多层身份验证方法。这次终于明确弃用短信,这是一个大事件。”

通讯安全公司KoolSpan首席技术官Bill Supernor还表示,从短信双因素带来的安全威胁来看,NIST早就应该弃用它。

“最大的风险是,攻击者可通过观察任何基于短信的身份验证,以及/或者生成自己的身份验证请求并重新定向,从而执行有针对性中间人攻击,”Supernor称,“从本质上讲,这意味着攻击者可以看到发送给用户的验证码。例如,攻击者可以针对用户银行账户触发密码重置,并重定向短信验证码到他们选择的电话号码。”

新的NIST指导方针声明“如果没有双因素身份验证的情况,应不可更改预登记电话号码”,以试图降低这一风险。

NIST指导方针覆盖范围

专家表示,虽然NIST指导方针可能主要针对美国联邦政府内使用,但往往会有更广阔的覆盖范围。

惠普企业安全公司知名技术专家Luther Martin称,NIST标准通常是“整个世界的事实标准”。

“美国政府的加密模块安全标准可能是最好的例子,相应ISO标准以及其他国家相应标准基本上都只是NIST标准的复制或者翻译,”Martin称,“由于NIST正在计划限制使用短信进行身份验证,这可能会带来显著影响,并且很有可能对除美国联邦政府的组织和企业带来巨大影响。”

Supernor指出,这些变化可能产生深远影响,因为“NIST相当有影响力,甚至超出政府市场范围。”

“通常情况下,NIST提供的建议都是经过深思熟虑,遵循他们的做法是个好主意,即使并不需要这样做。如果商业机构不遵循NIST标准或建议,那么他们将如履薄冰,”Supernor称,“举个例子,如果银行因为使用短信账户验证的欺诈活动而遭受重大损失,那么,其保险供应商可指出该银行没有遵循适当的做法而拒绝理赔。”

Huggo称,NIST指导方针通常也适用于金融机构和医疗保健行业。

“美国的金融机构会遵循FFIEC在身份验证方面的指导方针,但医疗保健行业及其他行业通常会遵守NIST,这是其HIPAA法规中的规定,”Huggo称,“为了呼应NIST对使用短信验证的警告,FFIEC近日更新了其零售支付服务手册,警告移动金融服务对短信的使用。我估计FFIEC很快将更新其指导方针来反映最新的NIST更新。”

Rook Security公司安全运营负责人Tom Gorup称:“NIST在明确基本安全做法方面做得非常好;但是有时候,对于有些企业来说可能相当繁琐。企业可以使用NIST指导方针作为出发点。”


作者:Michael Heller

来源:51CTO

相关文章
|
5月前
|
数据采集 安全 容灾
|
8月前
|
安全 数据安全/隐私保护
什么是多因素认证?
【5月更文挑战第14天】什么是多因素认证?
635 0
|
8月前
|
安全 数据安全/隐私保护
如何设置多因素认证,但不使用短信验证码?
【5月更文挑战第14天】如何设置多因素认证,但不使用短信验证码?
120 0
|
存储 云安全 人工智能
放心用吧!浅谈DuerOS的安全性
放心用吧!浅谈DuerOS的安全性
219 0
|
安全 程序员 数据库
可控参数带来的网站漏洞修复建议方案
网站中存在的越权漏洞,首先我们来讲一下什么是关键可控参数,也就是说像我们的一些关键参数,例如use ID order by ID就是一些关键的参数,必须是你的这么一个测试者,是能够去对其控制的。如果这个参数已经挟持了,或者说他有固定的这个值。那此时的话就不称为可控参数了。而关键就是你的改动必须能造成这个越权效果的一种称为关键参数。我们一定要快速定位到这种关键可控的这个参数之后,我们才能够更快速的去找到对应的这么一个越权漏洞。
201 0
可控参数带来的网站漏洞修复建议方案
|
供应链 安全 JavaScript
GitHub 宣布新政策:要求所有贡献代码的用户在 2023 年底前启用双因素认证
尽管双因素验证机制为在线帐户提供了重要的额外保护,但 GitHub 的内部研究表明,目前只有大约 16.5% 的活跃用户对其帐户启用了增强性的安全措施。
283 0
|
Web App开发 安全 网络安全
SSL系统遭入侵发布虚假密钥 微软谷歌受影响
北京时间8月31日午间消息,SSL证书颁发机构(SSL Certificate Authority)证实其系统曾遭受入侵,导致一系列网站得到了一些虚假的公钥证书,其中包括Google.com。 此外,荷兰网路信托服务专业公司DigiNotar的证书在谷歌、Mozilla和微软的浏览器上业已失效,尽管它表示已经检测到了2011年7月19日发生的安全泄露问题,并删除了受影响的证书。
892 0
|
安全 数据安全/隐私保护