信息來源：企業(yè)網(wǎng)

美國國家標準技術(shù)研究所（NIST）計劃棄用基于短信的雙因素身份驗證，而專家表示，這種改變早該進行了。

日前，NIST發(fā)布了《數(shù)字身份驗證指南（Digital Authentication Guideline）》的公開預覽草案，其中5.1.3.2部分規(guī)定如果雙因素身份驗證（2FA）必須通過短信完成，核查人必須“確認所使用的預登記電話號碼實際與手機網(wǎng)絡關(guān)聯(lián)，而不是與VoIP（或其他基于軟件）服務關(guān)聯(lián)”，但“（帶外）使用短信已過時，在本指南未來版本中將不再允許使用”。

NIST指出該版本被稱為“公開預覽版”，他們將該版本發(fā)布在GitHub，并向大家征求有關(guān)準則和變化的意見，包括對短信2FA的改變。

專家普遍表示短信2FA已經(jīng)存在很久，對于身份驗證，消費者往往會選擇便利性而不是安全。短信2FA是身份驗證最簡單的方法，但這種驗證確實帶來風險，例如其他人可從鎖屏通知讀取2FA驗證代碼。專家稱，替代身份驗證方法（例如令牌和設(shè)備上身份驗證應用）將提供更好的安全性，但設(shè)置和部署更復雜且昂貴。

網(wǎng)絡安全供應商Easy Solutions公司產(chǎn)品管理主管Damien Hugoo稱，這些準則有一定意義，但有些姍姍來遲。

“根據(jù)報道，在很多攻擊中，短信都被最終用戶設(shè)備中的惡意軟件攔截。澳大利亞電信甚至在2012年宣稱短信用于銀行交易不安全，”Huggo稱，“在過去，美國機構(gòu)（例如FFIEC）并沒有明確提出抵制短信雙因素認證，而是為安全起見推薦使用多層身份驗證方法。這次終于明確棄用短信，這是一個大事件?！?/span>

通訊安全公司KoolSpan首席技術(shù)官Bill Supernor還表示，從短信雙因素帶來的安全威脅來看，NIST早就應該棄用它。

“最大的風險是，攻擊者可通過觀察任何基于短信的身份驗證，以及/或者生成自己的身份驗證請求并重新定向，從而執(zhí)行有針對性中間人攻擊，”Supernor稱，“從本質(zhì)上講，這意味著攻擊者可以看到發(fā)送給用戶的驗證碼。例如，攻擊者可以針對用戶銀行賬戶觸發(fā)密碼重置，并重定向短信驗證碼到他們選擇的電話號碼?！?/span>

新的NIST指導方針聲明“如果沒有雙因素身份驗證的情況，應不可更改預登記電話號碼”，以試圖降低這一風險。

NIST指導方針覆蓋范圍

專家表示，雖然NIST指導方針可能主要針對美國聯(lián)邦政府內(nèi)使用，但往往會有更廣闊的覆蓋范圍。

惠普企業(yè)安全公司知名技術(shù)專家Luther Martin稱，NIST標準通常是“整個世界的事實標準”。

“美國政府的加密模塊安全標準可能是最好的例子，相應ISO標準以及其他國家相應標準基本上都只是NIST標準的復制或者翻譯，”Martin稱，“由于NIST正在計劃限制使用短信進行身份驗證，這可能會帶來顯著影響，并且很有可能對除美國聯(lián)邦政府的組織和企業(yè)帶來巨大影響?！?/span>

Supernor指出，這些變化可能產(chǎn)生深遠影響，因為“NIST相當有影響力，甚至超出政府市場范圍?！?/span>

“通常情況下，NIST提供的建議都是經(jīng)過深思熟慮，遵循他們的做法是個好主意，即使并不需要這樣做。如果商業(yè)機構(gòu)不遵循NIST標準或建議，那么他們將如履薄冰，”Supernor稱，“舉個例子，如果銀行因為使用短信賬戶驗證的欺詐活動而遭受重大損失，那么，其保險供應商可指出該銀行沒有遵循適當?shù)淖龇ǘ芙^理賠?！?/span>

Huggo稱，NIST指導方針通常也適用于金融機構(gòu)和醫(yī)療保健行業(yè)。

“美國的金融機構(gòu)會遵循FFIEC在身份驗證方面的指導方針，但醫(yī)療保健行業(yè)及其他行業(yè)通常會遵守NIST，這是其HIPAA法規(guī)中的規(guī)定，”Huggo稱，“為了呼應NIST對使用短信驗證的警告，F(xiàn)FIEC近日更新了其零售支付服務手冊，警告移動金融服務對短信的使用。我估計FFIEC很快將更新其指導方針來反映最新的NIST更新?！?/span>

Rook Security公司安全運營負責人Tom Gorup稱：“NIST在明確基本安全做法方面做得非常好；但是有時候，對于有些企業(yè)來說可能相當繁瑣。企業(yè)可以使用NIST指導方針作為出發(fā)點?！?/span>