基于SMS的双因素认证可能会出门
两个因素身份验证的SMS消息可能成为过去的事情。联邦机构劝阻其使用。
国家标准与技术研究所正在推动变革。其数字认证指南的最新草案,周一更新,警告说短信可以截获或重定向,使它们容易受到黑客攻击。
许多公司,包括推特,Facebook和谷歌以及银行,已经使用了基于电话的文本消息来为用户帐户添加额外的安全性。
它的工作方式:要访问帐户,用户不仅需要密码,还需要通过短信发送的密码。理想情况下,这些一次性密码被发送到指定的电话号码,以确保没有其他人将读取它们。
但即便如此,黑客仍然找到了欺骗系统的方法。在过去,他们使用恶意软件来感染智能手机,并暗中将SMS消息秘密重定向到另一个设备。
其他人选择冒充受害者。这可以允许黑客调用手机公司并要求他们将SMS短信重新路由到另一个电话号码。
NIST还建议连接到基于软件的服务的电话号码,包括VoIP,可能很容易被黑客攻击,使SMS消息有读取的风险。
联邦机构是推荐技术产业发现更好的替代方案。这可以包括仍在发送一次性密码,而是通过安全的智能手机应用程序发送。
例如,Google已将此功能提供其验证器应用程序,这将允许其绕过手机网络并直接在智能手机上生成代码。
目前尚不清楚科技产业如何对联邦机构的建议作出反应。但网络安全厂商已经通过指纹识别,硬件令牌和其他方法来提出更好的安全用户帐户和设备。
基思格雷厄姆,首席技术官在Secureauth批准了NIST的提案。他的公司专注于多因素身份验证,他表示,黑客越来越越来越多地找到针对SMS消息中包含的密码的方法。
“香草的两天的双因素方法不再足够安全,”他在一封电子邮件中说。
但是,两个因素认证的SMS消息仍然是希望保护用户帐户的公司的热门选择。“移动网络安全提供商HAUD的首席技术官Kevin PanzaveCchia在电子邮件中表示,”没有其他平台具有相同的无处不经劲。
他补充说,可以通过能够过滤漏出潜在滥用的移动网络防火墙来修复系统的漏洞。
NIST正在寻求关于其提案草案的公众评论。