APP下载

以简讯进行双因子认证有安全疑虑,美政府建议不要采用

消息来源:baojiabao.com 作者: 发布时间:2024-03-28

报价宝综合消息以简讯进行双因子认证有安全疑虑,美政府建议不要采用

获得许多金融机构与网络服务供应商采用,以移动电话简讯进行的双因子认证机制,可能不如想像中安全,美国商务部辖下的国家标准技术研究所建议,不要再采用该机制进行双因子认证。

根据美国国家标准技术研究所(NIST)最新发布的数位认证指导原则草案,在未来发表的指导原则中将排除额外的简讯认证。在现有的指导原则下,NIST仅建议采用简讯做为双因子认证的机构要确认接收简讯的号码为真实的移动电话号码,而非VoIP号码。

以移动电话简讯作为双因子认证机制的安全漏洞,主要发生在接收认证码简讯的手机号码,有被绑架或窜改的可能。今年6月时,便有知名美国黑人民权运动人士DeRay Mckesson在Twitter上表示,有人伪冒他的身份致电电信公司Verizon要求更换SIM卡后,并在各大网络服务上更换其登记的移动电话号码,进而跳过他在各网络服务采用的简讯双因子认证。

NIST也因此建议,服务供应商应该采取更好的保护机制来保护用户简讯可能遭拦截绑架的状况。举例来说,任何要更换接收双因子认证简讯的电话号码要求,都必须经过原号码的双因子认证通过后才可进行。

目前该草案已经在网络上公布供外界检视并搜集意见。

2018-01-26 11:25:00

相关文章