0
据CNET报道,在最新的《数字身份认证指南修改草案》中,作为认证软件必须遵守其规范的美国国家标准和技术研究所(NIST)表示, 将放弃基于SMS短信的双因素身份验证。
所谓SMS短信的双因素验证指的就是你通过SMS短信所获取的密码再加上你所拥有的手机——这两个要素组合到一起才能发挥作用的身份认证。比如在使用Gmail的时候,你需要先获取手机短信的密码,进入手机短信界面,然后再进入Gmail的登录界面完成验证。
由于SMS系统的不可靠,加上用户的手机号码极有可能并非是机主所使用,SMS短信可能会被VoIP服务所劫持等等不安全因素,NIST计划摆脱基于SMS短信的双因素认证。
NIST表示,从现在开始,目前仍在使用短信验证的服务需要确认消息是否发送到了一个手机号码上,而不是一个VoIP服务。
草案还表示用户需要更好地保护自己的消息,以免被劫持。例如攻击者可能会告诉服务提供者手机号码已经更改,从而劫持用户的消息。草案中指出“在没有得到双因素身份认证的情况下,不得改变事先注册的电话号码。如果用户在使用公共移动电话网络提供的短信作为带外验证,验证者必须验证预注册手机号码是否是基于移动网络,而非VoIP。然后才能发送短信到预注册手机号码。同时,修改预注册手机号码时必须进行双因素验证。不推荐使用短信进行带外验证,本指南的未来版本中也将不再允许这种方式。”
Via Cnet
雷峰网原创文章,未经授权禁止转载。详情见转载须知。