0
| 本文作者: 劉子榆 | 2016-07-26 18:35 |
據(jù)CNET報(bào)道,在最新的《數(shù)字身份認(rèn)證指南修改草案》中,作為認(rèn)證軟件必須遵守其規(guī)范的美國國家標(biāo)準(zhǔn)和技術(shù)研究所(NIST)表示, 將放棄基于SMS短信的雙因素身份驗(yàn)證。
所謂SMS短信的雙因素驗(yàn)證指的就是你通過SMS短信所獲取的密碼再加上你所擁有的手機(jī)——這兩個(gè)要素組合到一起才能發(fā)揮作用的身份認(rèn)證。比如在使用Gmail的時(shí)候,你需要先獲取手機(jī)短信的密碼,進(jìn)入手機(jī)短信界面,然后再進(jìn)入Gmail的登錄界面完成驗(yàn)證。
由于SMS系統(tǒng)的不可靠,加上用戶的手機(jī)號(hào)碼極有可能并非是機(jī)主所使用,SMS短信可能會(huì)被VoIP服務(wù)所劫持等等不安全因素,NIST計(jì)劃擺脫基于SMS短信的雙因素認(rèn)證。
NIST表示,從現(xiàn)在開始,目前仍在使用短信驗(yàn)證的服務(wù)需要確認(rèn)消息是否發(fā)送到了一個(gè)手機(jī)號(hào)碼上,而不是一個(gè)VoIP服務(wù)。
草案還表示用戶需要更好地保護(hù)自己的消息,以免被劫持。例如攻擊者可能會(huì)告訴服務(wù)提供者手機(jī)號(hào)碼已經(jīng)更改,從而劫持用戶的消息。草案中指出“在沒有得到雙因素身份認(rèn)證的情況下,不得改變事先注冊的電話號(hào)碼。如果用戶在使用公共移動(dòng)電話網(wǎng)絡(luò)提供的短信作為帶外驗(yàn)證,驗(yàn)證者必須驗(yàn)證預(yù)注冊手機(jī)號(hào)碼是否是基于移動(dòng)網(wǎng)絡(luò),而非VoIP。然后才能發(fā)送短信到預(yù)注冊手機(jī)號(hào)碼。同時(shí),修改預(yù)注冊手機(jī)號(hào)碼時(shí)必須進(jìn)行雙因素驗(yàn)證。不推薦使用短信進(jìn)行帶外驗(yàn)證,本指南的未來版本中也將不再允許這種方式。”
Via Cnet
雷峰網(wǎng)原創(chuàng)文章,未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。
