據(jù)CNET報(bào)道，在最新的《數(shù)字身份認(rèn)證指南修改草案》中，作為認(rèn)證軟件必須遵守其規(guī)范的美國國家標(biāo)準(zhǔn)和技術(shù)研究所（NIST）表示, 將放棄基于SMS短信的雙因素身份驗(yàn)證。

所謂SMS短信的雙因素驗(yàn)證指的就是你通過SMS短信所獲取的密碼再加上你所擁有的手機(jī)——這兩個(gè)要素組合到一起才能發(fā)揮作用的身份認(rèn)證。比如在使用Gmail的時(shí)候，你需要先獲取手機(jī)短信的密碼，進(jìn)入手機(jī)短信界面，然后再進(jìn)入Gmail的登錄界面完成驗(yàn)證。

由于SMS系統(tǒng)的不可靠，加上用戶的手機(jī)號(hào)碼極有可能并非是機(jī)主所使用，SMS短信可能會(huì)被VoIP服務(wù)所劫持等等不安全因素，NIST計(jì)劃擺脫基于SMS短信的雙因素認(rèn)證。

NIST表示，從現(xiàn)在開始，目前仍在使用短信驗(yàn)證的服務(wù)需要確認(rèn)消息是否發(fā)送到了一個(gè)手機(jī)號(hào)碼上，而不是一個(gè)VoIP服務(wù)。

草案還表示用戶需要更好地保護(hù)自己的消息，以免被劫持。例如攻擊者可能會(huì)告訴服務(wù)提供者手機(jī)號(hào)碼已經(jīng)更改，從而劫持用戶的消息。草案中指出“在沒有得到雙因素身份認(rèn)證的情況下，不得改變事先注冊(cè)的電話號(hào)碼。如果用戶在使用公共移動(dòng)電話網(wǎng)絡(luò)提供的短信作為帶外驗(yàn)證，驗(yàn)證者必須驗(yàn)證預(yù)注冊(cè)手機(jī)號(hào)碼是否是基于移動(dòng)網(wǎng)絡(luò)，而非VoIP。然后才能發(fā)送短信到預(yù)注冊(cè)手機(jī)號(hào)碼。同時(shí)，修改預(yù)注冊(cè)手機(jī)號(hào)碼時(shí)必須進(jìn)行雙因素驗(yàn)證。不推薦使用短信進(jìn)行帶外驗(yàn)證，本指南的未來版本中也將不再允許這種方式?！?/p>

Via Cnet

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。