原标题:透过简讯执行二次验证不再安全,美国国家标准技术研究所建议别再使用
图片来源:周峻佑
在台湾,随着资安意识擡头,透过手机简讯执行进阶身分认证,在金融产业中,算是相当普遍的做法。然而,根据美国国家标準技术研究所(National Institute of Standards and Technology,NIST)在2016年的数位身分认证指南(Digital Authentication Guideline)中提到,他们建议企业不要再透过电信系统,包含简讯和电话语音的方式,执行二次验证,甚至计画即将把这种验证方式,排除在未来的进阶身分验证标準之外。Datablink亚太区行销副总裁Lawrence Ang认为,企业应考虑透过其他方式执行,若是同样要透过手机,以App的型式可以提供更加安全的验证流程。
Lawrence Ang指出,企业透过手机简讯提供进阶身分验证使用的一次性密码(OTP)固然方便,但从2010年首次发现骇客针对行动电话而来的中间人攻击(Man-In-The-Mobile,MitMo)之后,这种手法便层出不穷。
美国国家标準技术研究所(NIST)指出,透过手机简讯取得OTP认证码不够安全的因素有2个:一是行动装置的作业系统容易遭受木马程式的中间人攻击,进行控制;另一点则是在电信通讯基础上,传送简讯的安全性受到挑战。
最早出现的是Zeus-In-The-Mobile(ZitMo),这是可在Windows Mobile、Android、Symbian,以及BlackBerry平台中执行,并拦截简讯中OTP的行动装置恶意软体,感染途径则是藉由已感染Zeus恶意程式的电脑,诱使用户在行动装置上安装。
另一个同样是针对手机简讯而来,也相当有指标性的恶意软体是SpyEye(另一种说法是SpyEye-In-The-Mobile,因此也有人写成SPITMO),在2012年时,这个软体大肆感染超过140万台的电脑与行动装置。同一年,Eurograbber以同样的攻击手法,从3万个企业与个人的银行帐户中,总计窃取高达3千6百万欧元。
如今,针对Android手机的简讯拦截,甚至在俄国和巴西等地,已有骇客直接销售木马攻击套件,代表性的恶意攻击程式是Android.Bankosy。
Lawrence Ang以Datablink近期推出的行动装置方案Mobile 110与简讯加以比较,说明以简讯OTP验证的缺点,包括SIM卡片内容容易遭到複製、能够做为认证的讯息只有文字,而且还不能太长,而手机App(Mobile 110)则可提供较多元且安全的机制,像是透过多项内容的比对的验证模式,或是推送(Push),使用者需在手机点选才能完成流程等方法。此外,从便利性的角度来看,相较于简讯必须透过安装SIM卡的手机,若是採用App执行身分认证,使用者只要在行动装置上安装就能使用,不一定要特定的装置才行。
他也引用Gartner的数据指出,虽然目前使用手机App的OTP比例还不高,但由于智慧型手机的普及,预估将成为2018年最主要的进阶身分认证方式之一。
iThome Security
相关:
3月17日,正在韩国访问的美国国务卿蒂勒森与韩国代行总统职权的国务总理黄教安在首尔举行会面。新华社/纽西斯通讯社新华社首尔3月17日电(记者杜白羽耿学鹏)正在韩国访问的美国国务卿蒂勒森17日在首尔表示,对朝鲜的“
【环球时报综合报道】美国《科学进展》杂志15日发表佐治亚理工学院研究人员的一项报告称,2013年1月,包括北京在内的中国东部持续近一个月的空气污染与2012年秋季北极海冰融化有关。英国广播公司(BBC)16日称,中国近
好房网News记者罗力元/整理报道 美国联准会表定美国时间周三召开利率会议,市场皆预期升息的机率很高,另外若联准会将今年升息的次数从3次调至4次,那么美元多头力道还没到尽头,也会影响新台币的走势。 市场皆
雾霾恶化的原因一直为科学家所困扰,美国《科学进展》杂志发表佐治亚理工学院研究人员的一项报告称,2013年1月,包括北京在内的中国东部持续近一个月的空气污染与2012年秋季北极海冰融化有关。该报告表示,全球气候变
美国联准会利率决策会议于台湾时间今(16)日凌晨2点,宣布升息1码。联准会主席叶伦指出,未来升息速度是1年3次,加减1次,采渐进式升息。由于决议內容符合市场预期,提早针对做出升息做出反应的资金,也得以回流亚洲