做好觉悟了吗?弃用短信双因素身份验证!

美国国家标准技术研究所(NIST)计划弃用基于短信的双因素身份验证，而专家表示，这种改变早该进行了。

[[169821]]

日前，NIST发布了《数字身份验证指南(Digital Authentication Guideline)》的公开预览草案，其中5.1.3.2部分规定如果双因素身份验证(2FA)必须通过短信完成，核查人必须“确认所使用的预登记电话号码实际与手机网络关联，而不是与VoIP(或其他基于软件)服务关联”，但“(带外)使用短信已过时，在本指南未来版本中将不再允许使用”。

NIST指出该版本被称为“公开预览版”，他们将该版本发布在GitHub，并向大家征求有关准则和变化的意见，包括对短信2FA的改变。

专家普遍表示短信2FA已经存在很久，对于身份验证，消费者往往会选择便利性而不是安全。短信2FA是身份验证最简单的方法，但这种验证确实带来风险，例如其他人可从锁屏通知读取2FA验证代码。专家称，替代身份验证方法(例如令牌和设备上身份验证应用)将提供更好的安全性，但设置和部署更复杂且昂贵。

网络安全供应商Easy Solutions公司产品管理主管Damien Hugoo称，这些准则有一定意义，但有些姗姗来迟。

“根据报道，在很多攻击中，短信都被最终用户设备中的恶意软件拦截。澳大利亚电信甚至在2012年宣称短信用于银行交易不安全，”Huggo称，“在过去，美国机构(例如FFIEC)并没有明确提出抵制短信双因素认证，而是为安全起见推荐使用多层身份验证方法。这次终于明确弃用短信，这是一个大事件。”

通讯安全公司KoolSpan首席技术官Bill Supernor还表示，从短信双因素带来的安全威胁来看，NIST早就应该弃用它。

“最大的风险是，攻击者可通过观察任何基于短信的身份验证，以及/或者生成自己的身份验证请求并重新定向，从而执行有针对性中间人攻击，”Supernor称，“从本质上讲，这意味着攻击者可以看到发送给用户的验证码。例如，攻击者可以针对用户银行账户触发密码重置，并重定向短信验证码到他们选择的电话号码。”

新的NIST指导方针声明“如果没有双因素身份验证的情况，应不可更改预登记电话号码”，以试图降低这一风险。

NIST指导方针覆盖范围

专家表示，虽然NIST指导方针可能主要针对美国联邦政府内使用，但往往会有更广阔的覆盖范围。

惠普企业安全公司知名技术专家Luther Martin称，NIST标准通常是“整个世界的事实标准”。

“美国政府的加密模块安全标准可能是最好的例子，相应ISO标准以及其他国家相应标准基本上都只是NIST标准的复制或者翻译，”Martin称，“由于NIST正在计划限制使用短信进行身份验证，这可能会带来显著影响，并且很有可能对除美国联邦政府的组织和企业带来巨大影响。”

Supernor指出，这些变化可能产生深远影响，因为“NIST相当有影响力，甚至超出政府市场范围。”

“通常情况下，NIST提供的建议都是经过深思熟虑，遵循他们的做法是个好主意，即使并不需要这样做。如果商业机构不遵循NIST标准或建议，那么他们将如履薄冰，”Supernor称，“举个例子，如果银行因为使用短信账户验证的欺诈活动而遭受重大损失，那么，其保险供应商可指出该银行没有遵循适当的做法而拒绝理赔。”

Huggo称，NIST指导方针通常也适用于金融机构和医疗保健行业。

“美国的金融机构会遵循FFIEC在身份验证方面的指导方针，但医疗保健行业及其他行业通常会遵守NIST，这是其HIPAA法规中的规定，”Huggo称，“为了呼应NIST对使用短信验证的警告，FFIEC近日更新了其零售支付服务手册，警告移动金融服务对短信的使用。我估计FFIEC很快将更新其指导方针来反映最新的NIST更新。”

Rook Security公司安全运营负责人Tom Gorup称：“NIST在明确基本安全做法方面做得非常好;但是有时候，对于有些企业来说可能相当繁琐。企业可以使用NIST指导方针作为出发点。”