美國國家標準技術研究所(NIST)計劃棄用基于短信的雙因素身份驗證，而專家表示，這種改變早該進行了。

[[169821]]

日前，NIST發布了《數字身份驗證指南(Digital Authentication Guideline)》的公開預覽草案，其中5.1.3.2部分規定如果雙因素身份驗證(2FA)必須通過短信完成，核查人必須“確認所使用的預登記電話號碼實際與手機網絡關聯，而不是與VoIP(或其他基于軟件)服務關聯”，但“(帶外)使用短信已過時，在本指南未來版本中將不再允許使用”。

NIST指出該版本被稱為“公開預覽版”，他們將該版本發布在GitHub，并向大家征求有關準則和變化的意見，包括對短信2FA的改變。

專家普遍表示短信2FA已經存在很久，對于身份驗證，消費者往往會選擇便利性而不是安全。短信2FA是身份驗證最簡單的方法，但這種驗證確實帶來風險，例如其他人可從鎖屏通知讀取2FA驗證代碼。專家稱，替代身份驗證方法(例如令牌和設備上身份驗證應用)將提供更好的安全性，但設置和部署更復雜且昂貴。

網絡安全供應商Easy Solutions公司產品管理主管Damien Hugoo稱，這些準則有一定意義，但有些姍姍來遲。

“根據報道，在很多攻擊中，短信都被最終用戶設備中的惡意軟件攔截。澳大利亞電信甚至在2012年宣稱短信用于銀行交易不安全，”Huggo稱，“在過去，美國機構(例如FFIEC)并沒有明確提出抵制短信雙因素認證，而是為安全起見推薦使用多層身份驗證方法。這次終于明確棄用短信，這是一個大事件。”

通訊安全公司KoolSpan首席技術官Bill Supernor還表示，從短信雙因素帶來的安全威脅來看，NIST早就應該棄用它。

“最大的風險是，攻擊者可通過觀察任何基于短信的身份驗證，以及/或者生成自己的身份驗證請求并重新定向，從而執行有針對性中間人攻擊，”Supernor稱，“從本質上講，這意味著攻擊者可以看到發送給用戶的驗證碼。例如，攻擊者可以針對用戶銀行賬戶觸發密碼重置，并重定向短信驗證碼到他們選擇的電話號碼。”

新的NIST指導方針聲明“如果沒有雙因素身份驗證的情況，應不可更改預登記電話號碼”，以試圖降低這一風險。

NIST指導方針覆蓋范圍

專家表示，雖然NIST指導方針可能主要針對美國聯邦政府內使用，但往往會有更廣闊的覆蓋范圍。

惠普企業安全公司知名技術專家Luther Martin稱，NIST標準通常是“整個世界的事實標準”。

“美國政府的加密模塊安全標準可能是最好的例子，相應ISO標準以及其他國家相應標準基本上都只是NIST標準的復制或者翻譯，”Martin稱，“由于NIST正在計劃限制使用短信進行身份驗證，這可能會帶來顯著影響，并且很有可能對除美國聯邦政府的組織和企業帶來巨大影響。”

Supernor指出，這些變化可能產生深遠影響，因為“NIST相當有影響力，甚至超出政府市場范圍。”

“通常情況下，NIST提供的建議都是經過深思熟慮，遵循他們的做法是個好主意，即使并不需要這樣做。如果商業機構不遵循NIST標準或建議，那么他們將如履薄冰，”Supernor稱，“舉個例子，如果銀行因為使用短信賬戶驗證的欺詐活動而遭受重大損失，那么，其保險供應商可指出該銀行沒有遵循適當的做法而拒絕理賠。”

Huggo稱，NIST指導方針通常也適用于金融機構和醫療保健行業。

“美國的金融機構會遵循FFIEC在身份驗證方面的指導方針，但醫療保健行業及其他行業通常會遵守NIST，這是其HIPAA法規中的規定，”Huggo稱，“為了呼應NIST對使用短信驗證的警告，FFIEC近日更新了其零售支付服務手冊，警告移動金融服務對短信的使用。我估計FFIEC很快將更新其指導方針來反映最新的NIST更新。”

Rook Security公司安全運營負責人Tom Gorup稱：“NIST在明確基本安全做法方面做得非常好;但是有時候，對于有些企業來說可能相當繁瑣。企業可以使用NIST指導方針作為出發點。”