实用云,提供最全最实时的云市场资讯

手机站:/m

文件存储_云主机安装软件_企业级

时间:2021-09-08 10:02编辑:实用云来源:实用云当前位置:主页 > 云存储服务 >

2016年7月下旬,有大量新闻报道"宣布2FA结束于SMS",因为美国NIST建议在其指南的下一版本中弃用2FA代币的SMS带外交付渠道。

在2016年6月/7月时间框架的文件草案中,第5.1.3.2节以:

到期对于短信可能被截获或重定向的风险,新系统的实现者应该仔细考虑其他身份验证器。如果要使用公共移动电话网络上的SMS消息进行带外验证,验证者应验证所使用的预注册电话号码实际上与移动网络相关联,而不是与VoIP(或其他基于软件的)服务相关联。然后它将短信发送到预先注册的电话号码。更改预注册电话号码时,未经双因素认证,不得更改。使用SMS的OOB已被弃用,并且在本指南的未来版本中可能不再被允许。

这一不幸的发现被多家新闻机构发现,包括:

TechCrunch:NIST宣布基于SMS的双因素认证的时代已经过去注册:美国标准实验室说短信不利于认证CXO公司今日网:基于SMS的双因素身份验证即将结束CNET:基于短信的双因素认证很快将被禁止《今日科技》:告别短信双因素认证

虽然这是一份行业和一般新闻机构的评选,但肯定不是一份全面的榜单,免费自助建站系统,物联智能家居,更多的出版物通过短信跳出了2FA。遗憾的是,标题,正如你所看到的,大数据算法,是相当具有误导性的,我们相信这确实损害了2FA的概念,通过短信渠道。NIST的这一建议草案还引发了包括美国CTIA在内的众多组织的大力游说。

某些东西肯定奏效了。

在2017年6月发布的NIST特别出版物800-63B(数字身份指南:认证和生命周期管理)中,不推荐将SMS作为2FA的带外信道的建议已不再适用。它不见了!已从文档中删除!

第5.1.3.2节不再提及"弃用短信"。事实上,第5.1.3.1节承认短信可能是一种特定的带外设备:

使用SIM卡或唯一标识该设备的同等设备向公共移动电话网络进行身份验证。只有当验证器通过PSTN(短信或语音)将秘密发送到带外设备时,才应使用此方法。

本版本或任何其他版本中不再提及弃用短信。

该符号和其他一些文本清楚地表明,短信(和语音)可以用作带外信道(例如,通过使用公共交换电话网(PSTN)。该文件明确指出,拥有移动设备应通过SIM卡进行身份验证,并明确排除电子邮件或VoIP渠道,因为它们不能"证明拥有特定设备"。

这排除了可以在SIM卡移动设备以及桌面或其他设备上运行的某些类型的消息应用程序,不是由SIM卡唯一识别的:Facebook Messenger、WhatsApp、微信、谷歌语音和许多其他。但是传统的短信,甚至RCS可能会被使用。

我们仍然可以指出短信的一些漏洞,正如最近的一些头条所强调的那样(注意新闻机构是如何迅速地发布坏消息的,但是当业界对我们的抱怨有点辩护时,短信作为2FA渠道虽然不完美,但仍然是非常有效的)。在最终文件中,NIST确实指出:

如果要使用PSTN进行带外验证,验证者应验证使用的预注册电话号码是否与特定物理设备相关。更改预先注册的电话号码被视为绑定新的验证者,大数据好吗,并且只能按照第6.1.2节所述进行。

此外,他们还提醒实施者:

验证者应考虑设备交换、SIM卡更改、号码移植等风险指标,或其他在使用PSTN传递带外认证秘密之前的异常行为。

移动行业,特别是移动网络运营商,已经部署了大量的控制措施,以打击SIM卡交换、短信截获和其他对最广泛使用的2FA信道的威胁,这些威胁很少见,但仍然造成了一些不良影响对于极少数的订户来说。尽管不可否认,短信息仍然是最广泛使用和最有效的方式,人们可以添加第二个身份验证因素来保护自己和提供服务的公司。

此外,永久免费的云服务器,全球行业协会,如GSM协会,都有活跃的工作组,设计附加标准,将A2P SMS的安全性扩展到2FA以及其他类型的高价值企业消息。这只会改善短信作为一个带外通道。

这是一个非常好的消息,为认证部门的行业和肯定的支持者2FA的短信。NIST承认SMS仍然是2FA的有效带外认证通道,证明了尽管存在一些已知但罕见的威胁,全球推回和有效的反驳导致了一个主要的影响因素退后考虑,可能会导致无数人没有一个简单的基于短信的双因素认证选项。

谢谢你,NIST!

请在Twitter上关注我。@wdudley2009年

上一篇域名注册_怎么域名解析_速度快

下一篇域名解析_数据库修改数据_是什么

世界之最排行

世界之最精选