美国国家标准与技术研究所(NIST)发布了数字认证指南最新版本的草案,暗示未来会禁用基于短信的双因素认证(2FA)。
数字认证指南(DAG)是用于规范软件开发人员进行安全服务开发的一系列规则,由政府和私人机构来评估他们的服务和软件的安全性。
为了跟上快速发展的IT部门,NIST专家在不断更新指南。
基于短信的2FA仍可接受,但不会长久
通过最新版本的DAG草案,NIST官方人员不再鼓励公司使用基于短信的认证,甚至表示未来版本的指南中可能将这种认证方式界定为不安全。
指南建议APP使用口令和软件加密身份验证,虽然这种方式也会发生设备丢失或者“暂借”情况,但NIST认为这种风险在可接受范围内。而SMS还有一个弱点已侵蚀到其可信性,那就是VoIP服务。
SMS不安全,尤其是VoIP连接
由于一些VoIP服务允许劫持短信,NIST官方人员鼓励使用基于短信的双因素认证系统的软件供应商在发送2FA代码前,着重检查下VoIP连接。
SMS被广泛认为是一种不安全的协议。上周ContextInformation Security 研究人员又一次发现基于SMS协议弱点的攻击事件。随着这类事件越来越多,NIST、软件供应商、公司以及用户应该换用一种更安全的身份验证方法。
目前NIST指南还处在讨论中,但可以确定的是未来版本的DAG将不再建议使用基于短信的带外验证方法。
生物识别技术正在不断发展
NIST的DAG草案支持生物识别技术作为身份认证的方法,但前提是生物认证技术需要与其他认证因素相结合。