当前位置:游戏巴士 > 游民星空 > 透过简讯执行二次验证不再安全,美国国家标準技术研究所建议别再

透过简讯执行二次验证不再安全,美国国家标準技术研究所建议别再

日期:2017-03-20

图片来源: 

周峻佑

在台湾,随着资安意识擡头,透过手机简讯执行进阶身分认证,在金融产业中,算是相当普遍的做法。然而,根据美国国家标準技术研究所(National Institute of Standards and Technology,NIST)在2016年的数位身分认证指南(Digital Authentication Guideline)中提到,他们建议企业不要再透过电信系统,包含简讯和电话语音的方式,执行二次验证,甚至计画即将把这种验证方式,排除在未来的进阶身分验证标準之外。Datablink亚太区行销副总裁Lawrence Ang认为,企业应考虑透过其他方式执行,若是同样要透过手机,以App的型式可以提供更加安全的验证流程。

Lawrence Ang在2017年资安大会的议程中指出,企业透过手机简讯提供进阶身分验证使用的一次性密码(OTP)固然方便,但从2010年首次发现骇客针对行动电话而来的中间人攻击(Man-In-The-Mobile,MitMo)之后,这种手法便层出不穷。

美国国家标準技术研究所(NIST)指出,透过手机简讯取得OTP认证码不够安全的因素有2个:一是行动装置的作业系统容易遭受木马程式的中间人攻击,进行控制;另一点则是在电信通讯基础上,传送简讯的安全性受到挑战。

最早出现的是Zeus-In-The-Mobile(ZitMo),这是可在Windows Mobile、Android、Symbian,以及BlackBerry平台中执行,并拦截简讯中OTP的行动装置恶意软体,感染途径则是藉由已感染Zeus恶意程式的电脑,诱使用户在行动装置上安装。

另一个同样是针对手机简讯而来,也相当有指标性的恶意软体是SpyEye(另一种说法是SpyEye-In-The-Mobile,因此也有人写成SPITMO),在2012年时,这个软体大肆感染超过140万台的电脑与行动装置。同一年,Eurograbber以同样的攻击手法,从3万个企业与个人的银行帐户中,总计窃取高达3千6百万欧元。

如今,针对Android手机的简讯拦截,2016年甚至在俄国和巴西等地,已有骇客直接销售木马攻击套件,代表性的恶意攻击程式是Android.Bankosy。

Lawrence Ang以Datablink近期推出的行动装置方案Mobile 110与简讯加以比较,说明以简讯OTP验证的缺点,包括SIM卡片内容容易遭到複製、能够做为认证的讯息只有文字,而且还不能太长,而手机App(Mobile 110)则可提供较多元且安全的机制,像是透过多项内容的比对的验证模式,或是推送(Push),使用者需在手机点选才能完成流程等方法。此外,从便利性的角度来看,相较于简讯必须透过安装SIM卡的手机,若是採用App执行身分认证,使用者只要在行动装置上安装就能使用,不一定要特定的装置才行。

他也引用Gartner的数据指出,虽然目前使用手机App的OTP比例还不高,但由于智慧型手机的普及,预估将成为2018年最主要的进阶身分认证方式之一。