基于短信的双因素身份验证可能即将推出

基于短信的双因素身份验证可能即将推出

用于双因素身份验证的SMS消息可能会成为过去。一个美国联邦机构正在劝阻它的使用。

国家标准与技术研究所正在推动这一变革。周一更新的最新数字认证指南草案警告说,短信息可能被截获或重定向,从而容易受到黑客攻击。

许多公司,包括Twitter、Facebook和Google,以及银行,已经使用基于手机的短信为用户帐户增加了一层额外的安全保护。

它的工作原理是这样的:要访问帐户,用户不仅需要密码,还需要公司通过短信发送的密码。理想情况下,这些一次性密码被发送到指定的电话号码,以确保其他人不会读取它们。

但即便如此,黑客还是找到了欺骗系统的方法。过去,他们利用恶意软件感染智能手机,并秘密将短信重定向到另一台设备。

其他人则选择模仿受害者。这可以让黑客给电话公司打电话,让他们把短信改成另一个电话号码。

NIST还指出,连接到基于软件的服务(包括VoIP)的电话号码可能容易受到黑客攻击,从而使短信面临被读取的风险。

相反,联邦机构建议科技行业寻找更好的替代品。这可以包括仍然发送一次性密码,但通过一个安全的智能手机应用程序。

例如,Google已经在Authenticator应用程序中提供了这一功能,它可以绕过电话网络,直接在智能手机上生成代码。

目前尚不清楚科技行业对联邦机构的提议会有何反应。但网络安全供应商已经提出了通过指纹识别、硬件令牌和其他方法更好地保护用户帐户和设备的方法。

SecureAuth的首席技术官Keith Graham批准了NIST的提议。他的公司专门从事多因素认证,他说,黑客越来越多地找到方法,以短信中包含的密码为目标。

他在一封电子邮件中说:“普通的双因素方法已经不足以保证安全。”。

然而,对于希望保护用户帐户安全的公司来说,用于双因素身份验证的短信仍然是一种流行的选择。移动网络安全提供商HAUD的首席技术官kevinpanzavecchia在一封电子邮件中说:“没有任何其他平台具有相同程度的普遍性。”。

他补充说,该系统的漏洞可以通过移动网络防火墙修复,这些防火墙可以过滤掉潜在的滥用。

NIST正在征求公众对其提案草案的意见。