據(jù)CNET報道，在最新的《數(shù)字身份認(rèn)證指南修改草案》中，作為認(rèn)證軟件必須遵守其規(guī)范的美國國家標(biāo)準(zhǔn)和技術(shù)研究所（NIST）表示, 將放棄基于SMS短信的雙因素身份驗證。

所謂SMS短信的雙因素驗證指的就是你通過SMS短信所獲取的密碼再加上你所擁有的手機——這兩個要素組合到一起才能發(fā)揮作用的身份認(rèn)證。比如在使用Gmail的時候，你需要先獲取手機短信的密碼，進(jìn)入手機短信界面，然后再進(jìn)入Gmail的登錄界面完成驗證。

由于SMS系統(tǒng)的不可靠，加上用戶的手機號碼極有可能并非是機主所使用，SMS短信可能會被VoIP服務(wù)所劫持等等不安全因素，NIST計劃擺脫基于SMS短信的雙因素認(rèn)證。

NIST表示，從現(xiàn)在開始，目前仍在使用短信驗證的服務(wù)需要確認(rèn)消息是否發(fā)送到了一個手機號碼上，而不是一個VoIP服務(wù)。

草案還表示用戶需要更好地保護自己的消息，以免被劫持。例如攻擊者可能會告訴服務(wù)提供者手機號碼已經(jīng)更改，從而劫持用戶的消息。草案中指出“在沒有得到雙因素身份認(rèn)證的情況下，不得改變事先注冊的電話號碼。如果用戶在使用公共移動電話網(wǎng)絡(luò)提供的短信作為帶外驗證，驗證者必須驗證預(yù)注冊手機號碼是否是基于移動網(wǎng)絡(luò)，而非VoIP。然后才能發(fā)送短信到預(yù)注冊手機號碼。同時，修改預(yù)注冊手機號碼時必須進(jìn)行雙因素驗證。不推薦使用短信進(jìn)行帶外驗證，本指南的未來版本中也將不再允許這種方式?！?/p>

Via Cnet

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。