美国 国家标准和技术协会 ( National Institute of Standards and Technology ) (NIST)发布了《 数字身份验证指南 ( Digital Authentication Guideline ) (DAG)》的最新草案,其中暗示将来会禁用基于短信的 双因子认证方案 ( Two-Factor Authentication ) (2FA)。
《 数字身份验证指南 Digital Authentication Guideline (DAG)》是一系列用于软件商构建安全服务的规则,也被政府和私人机构用于评估其服务和软件的安全性。
NIST 的专家们一直不断地更新该指南,以便应对 IT 领域的快速变化。
基于短信的双因子认证仍然可以用,但是不会太久了
据最新的《数字身份验证指南》草案,NIST 正式地不建议公司继续使用基于短信的认证,甚至说将来考虑在该指南中将基于短信的双因子认证视作不安全的。NIST 在该草案中说:
“如果使用基于公共移动电话网络的短信作为带外验证,验证者必须验证其预注册的手机号码是基于移动网络的,而非 VoIP(或者其它基于软件的),然后才能发送短信到预注册手机号码。修改预注册手机号码时如果没有双因子验证是不能进行的。不推荐使用短信进行带外验证,本指南的将来版本中将不再允许这种方式。”
NIST 的指南当中认为基于短信的双因子认证是不安全的,因为用户不会总是带着电话。
在该指南中,推荐软件应用应该使用令牌和软件加密验证器,这可能是手机应用或硬件设备的形式,但是就像手机一样,也可能被偷走或“临时借走”。但该指南认为这种风险是可接受的,而不像令牌或软件加密验证器那样,短信在 VoIP 服务之下是一个影响到了联合信任因子的缺陷。
短信是不安全的,特别是在 VoIP 连接下
因为一些 VoIP 服务允许劫持短信,所以 NIST 建议厂商在基于短信的双因子系统在发送短信验证码之前,对使用 VoIP 连接的访问进行特别检查。
短信是一个广泛使用的不安全协议,仅在上周,Context Information Security 的安全研究人员就披露了又一起依赖于短信协议而危及到了其用户和设备的攻击。随着对这种攻击类型的越来越多的研究,软件厂商、公司以及用户会逐渐认识到应该换到更安全的验证方式上。
当前的 NIST 指南仍在讨论之中,但是基本上可以确定,该指南的将来版本不会再将使用基于短信的认证方式推荐为带外验证的安全方式。
生物识别技术是一个新兴发展方向
在该指南草案中,也提到了生物特征识别技术在特定条件下是可以作为一个验证方式的:
“因此,对生物识别技术的验证是支持的,只需要遵循如下准则:生物识别技术应该与其他(你知道的或你拥有的)认证因子配合使用。”