信息來(lái)源：企業(yè)網(wǎng)

美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究所（NIST）計(jì)劃棄用基于短信的雙因素身份驗(yàn)證，而專(zhuān)家表示，這種改變?cè)缭撨M(jìn)行了。

日前，NIST發(fā)布了《數(shù)字身份驗(yàn)證指南（Digital Authentication Guideline）》的公開(kāi)預(yù)覽草案，其中5.1.3.2部分規(guī)定如果雙因素身份驗(yàn)證（2FA）必須通過(guò)短信完成，核查人必須“確認(rèn)所使用的預(yù)登記電話(huà)號(hào)碼實(shí)際與手機(jī)網(wǎng)絡(luò)關(guān)聯(lián)，而不是與VoIP（或其他基于軟件）服務(wù)關(guān)聯(lián)”，但“（帶外）使用短信已過(guò)時(shí)，在本指南未來(lái)版本中將不再允許使用”。

NIST指出該版本被稱(chēng)為“公開(kāi)預(yù)覽版”，他們將該版本發(fā)布在GitHub，并向大家征求有關(guān)準(zhǔn)則和變化的意見(jiàn)，包括對(duì)短信2FA的改變。

專(zhuān)家普遍表示短信2FA已經(jīng)存在很久，對(duì)于身份驗(yàn)證，消費(fèi)者往往會(huì)選擇便利性而不是安全。短信2FA是身份驗(yàn)證最簡(jiǎn)單的方法，但這種驗(yàn)證確實(shí)帶來(lái)風(fēng)險(xiǎn)，例如其他人可從鎖屏通知讀取2FA驗(yàn)證代碼。專(zhuān)家稱(chēng)，替代身份驗(yàn)證方法（例如令牌和設(shè)備上身份驗(yàn)證應(yīng)用）將提供更好的安全性，但設(shè)置和部署更復(fù)雜且昂貴。

網(wǎng)絡(luò)安全供應(yīng)商Easy Solutions公司產(chǎn)品管理主管Damien Hugoo稱(chēng)，這些準(zhǔn)則有一定意義，但有些姍姍來(lái)遲。

“根據(jù)報(bào)道，在很多攻擊中，短信都被最終用戶(hù)設(shè)備中的惡意軟件攔截。澳大利亞電信甚至在2012年宣稱(chēng)短信用于銀行交易不安全，”Huggo稱(chēng)，“在過(guò)去，美國(guó)機(jī)構(gòu)（例如FFIEC）并沒(méi)有明確提出抵制短信雙因素認(rèn)證，而是為安全起見(jiàn)推薦使用多層身份驗(yàn)證方法。這次終于明確棄用短信，這是一個(gè)大事件?！?/span>

通訊安全公司KoolSpan首席技術(shù)官Bill Supernor還表示，從短信雙因素帶來(lái)的安全威脅來(lái)看，NIST早就應(yīng)該棄用它。

“最大的風(fēng)險(xiǎn)是，攻擊者可通過(guò)觀察任何基于短信的身份驗(yàn)證，以及/或者生成自己的身份驗(yàn)證請(qǐng)求并重新定向，從而執(zhí)行有針對(duì)性中間人攻擊，”Supernor稱(chēng)，“從本質(zhì)上講，這意味著攻擊者可以看到發(fā)送給用戶(hù)的驗(yàn)證碼。例如，攻擊者可以針對(duì)用戶(hù)銀行賬戶(hù)觸發(fā)密碼重置，并重定向短信驗(yàn)證碼到他們選擇的電話(huà)號(hào)碼。”

新的NIST指導(dǎo)方針聲明“如果沒(méi)有雙因素身份驗(yàn)證的情況，應(yīng)不可更改預(yù)登記電話(huà)號(hào)碼”，以試圖降低這一風(fēng)險(xiǎn)。

NIST指導(dǎo)方針覆蓋范圍

專(zhuān)家表示，雖然NIST指導(dǎo)方針可能主要針對(duì)美國(guó)聯(lián)邦政府內(nèi)使用，但往往會(huì)有更廣闊的覆蓋范圍。

惠普企業(yè)安全公司知名技術(shù)專(zhuān)家Luther Martin稱(chēng)，NIST標(biāo)準(zhǔn)通常是“整個(gè)世界的事實(shí)標(biāo)準(zhǔn)”。

“美國(guó)政府的加密模塊安全標(biāo)準(zhǔn)可能是最好的例子，相應(yīng)ISO標(biāo)準(zhǔn)以及其他國(guó)家相應(yīng)標(biāo)準(zhǔn)基本上都只是NIST標(biāo)準(zhǔn)的復(fù)制或者翻譯，”Martin稱(chēng)，“由于NIST正在計(jì)劃限制使用短信進(jìn)行身份驗(yàn)證，這可能會(huì)帶來(lái)顯著影響，并且很有可能對(duì)除美國(guó)聯(lián)邦政府的組織和企業(yè)帶來(lái)巨大影響?！?/span>

Supernor指出，這些變化可能產(chǎn)生深遠(yuǎn)影響，因?yàn)椤癗IST相當(dāng)有影響力，甚至超出政府市場(chǎng)范圍?！?/span>

“通常情況下，NIST提供的建議都是經(jīng)過(guò)深思熟慮，遵循他們的做法是個(gè)好主意，即使并不需要這樣做。如果商業(yè)機(jī)構(gòu)不遵循NIST標(biāo)準(zhǔn)或建議，那么他們將如履薄冰，”Supernor稱(chēng)，“舉個(gè)例子，如果銀行因?yàn)槭褂枚绦刨~戶(hù)驗(yàn)證的欺詐活動(dòng)而遭受重大損失，那么，其保險(xiǎn)供應(yīng)商可指出該銀行沒(méi)有遵循適當(dāng)?shù)淖龇ǘ芙^理賠?！?/span>

Huggo稱(chēng)，NIST指導(dǎo)方針通常也適用于金融機(jī)構(gòu)和醫(yī)療保健行業(yè)。

“美國(guó)的金融機(jī)構(gòu)會(huì)遵循FFIEC在身份驗(yàn)證方面的指導(dǎo)方針，但醫(yī)療保健行業(yè)及其他行業(yè)通常會(huì)遵守NIST，這是其HIPAA法規(guī)中的規(guī)定，”Huggo稱(chēng)，“為了呼應(yīng)NIST對(duì)使用短信驗(yàn)證的警告，F(xiàn)FIEC近日更新了其零售支付服務(wù)手冊(cè)，警告移動(dòng)金融服務(wù)對(duì)短信的使用。我估計(jì)FFIEC很快將更新其指導(dǎo)方針來(lái)反映最新的NIST更新?！?/span>

Rook Security公司安全運(yùn)營(yíng)負(fù)責(zé)人Tom Gorup稱(chēng)：“NIST在明確基本安全做法方面做得非常好；但是有時(shí)候，對(duì)于有些企業(yè)來(lái)說(shuō)可能相當(dāng)繁瑣。企業(yè)可以使用NIST指導(dǎo)方針作為出發(fā)點(diǎn)。”