0
據CNET報道,在最新的《數字身份認證指南修改草案》中,作為認證軟件必須遵守其規范的美國國家標準和技術研究所(NIST)表示, 將放棄基于SMS短信的雙因素身份驗證。
所謂SMS短信的雙因素驗證指的就是你通過SMS短信所獲取的密碼再加上你所擁有的手機——這兩個要素組合到一起才能發揮作用的身份認證。比如在使用Gmail的時候,你需要先獲取手機短信的密碼,進入手機短信界面,然后再進入Gmail的登錄界面完成驗證。
由于SMS系統的不可靠,加上用戶的手機號碼極有可能并非是機主所使用,SMS短信可能會被VoIP服務所劫持等等不安全因素,NIST計劃擺脫基于SMS短信的雙因素認證。
NIST表示,從現在開始,目前仍在使用短信驗證的服務需要確認消息是否發送到了一個手機號碼上,而不是一個VoIP服務。
草案還表示用戶需要更好地保護自己的消息,以免被劫持。例如攻擊者可能會告訴服務提供者手機號碼已經更改,從而劫持用戶的消息。草案中指出“在沒有得到雙因素身份認證的情況下,不得改變事先注冊的電話號碼。如果用戶在使用公共移動電話網絡提供的短信作為帶外驗證,驗證者必須驗證預注冊手機號碼是否是基于移動網絡,而非VoIP。然后才能發送短信到預注冊手機號碼。同時,修改預注冊手機號碼時必須進行雙因素驗證。不推薦使用短信進行帶外驗證,本指南的未來版本中也將不再允許這種方式。”
Via Cnet
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
