NIST宣布计划弃用基于短信的双因素身份验证,因为这种方法带来太多安全风险。这是否是正确的转变?其他组织是否应该向他们一样,采用非短信双因素身份验证作为最佳做法?
Mike Chapple:通过弃用基于短信的双因素身份验证(2FA),美国国家标准与技术研究所(NIST)确实正在对其数字身份验证准则进行非常适当的调整。NIST最近发布了NIST Special Publication 800-63B草案,让企业准备好迎接将没有这项技术的未来。
通常情况下,用户会通过输入用户名和密码在系统或服务完成初始身份验证,而将短信双因素身份验证用作额外的带外身份验证。用户的手机会收到包含代码的短信或者SMS,用户必须将代码输入系统来完成身份验证过程。这种手机通信使用与用户名及密码验证不同的带外信道。
然而,这种短信验证方法具有固有的缺陷。在这种方法中,代码作为锁定屏幕通知发送,无需解锁手机屏幕或者进一步输入安全码即可查看该验证代码。此外,如果用户发送代码到IP语音号码,攻击者可通过攻击用户的VoIP账户来窃听网络通信或甚至重新将短信路由到另一设备上。
NIST并没有说短信双重认证不适用,但他们表明,未来版本的NIST指南及标准可能不会允许使用短信双重验证。当前在使用短信双重验证的用户必须验证发送短信的电话号码,直接连接公共移动电话网络中的电话号码,而不是通过VoIP服务。
虽然NIST智能对美国政府机构和承包商强制执行其标准,但非短信双因素身份验证是全球企业都应该计划部署的较好的安全做法。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
作者
Mike Chapple, CISSP,University of Notre Dame的IT安全专家。他曾担任国家安全局和美国空军的信息安全研究员。Mike经常为SearchSecurity.com撰稿,是《信息安全》杂志的技术编辑。
相关推荐
-
Telerik Web UI:加密漏洞能否缓解?
最近看到报道称Telerik Web UI包含加密漏洞,这个漏洞是什么?企业是否应该考虑其他解决方案,还是这个漏洞可得到缓解?
-
如何确定应用程序的攻击面?
应用程序漏洞以及错误配置都可能成为攻击者的靶子。能够正确的防御这些应用程序的要求是,在健全的风险管理发生之前,企业能够确认攻击面……
-
隐私vs.安全:该如何平衡?
中国的《网络安全法》已于今年6月1日正式开始实行,这给现代企业在维护信息隐私和安全性方面带来更多的挑战,也将对如何平衡隐私和安全性的探讨推上风口浪尖。
-
如何用移动应用评估来提高企业安全性?
面对海量的应用,对企业来说,确定哪些应用用于企业用途是十分困难的。即使是最有用的应用都可能会增加企业安全风险,因此,安全团队需要将移动应用评估作为其工作的一部分……