標題:透過簡訊執行二次驗證不再安全,美國國家標準技術研究所建議別再使用
摘要:
在臺灣,隨著資安意識擡頭,透過手機簡訊執行進階身分認證,在金融產業中,算是相當普遍的做法。然而,根據美國國家標準技術研究所(National Institute of Standards and Technology,NIST)在2016年的數位身分認證指南(Digital Authentication Guideline)中提到,他們建議企業不要再透過電信系統,包含簡訊和電話語音的方式,執行二次驗證,甚至計畫即將把這種驗證方式,排除在未來的進階身分驗證標準之外。
最早出現的是Zeus-In-The-Mobile(ZitMo),這是可在Windows Mobile、Android、Symbian,以及BlackBerry平臺中執行,並攔截簡訊中OTP的行動裝置惡意軟體,感染途徑則是藉由已感染Zeus惡意程式的電腦,誘使用戶在行動裝置上安裝。
另一個同樣是針對手機簡訊而來,也相當有指標性的惡意軟體是SpyEye(另一種說法是SpyEye-In-The-Mobile,因此也有人寫成SPITMO),在2012年時,這個軟體大肆感染超過140萬臺的電腦與行動裝置。
原始資料:
Digital Identity Guidelines: Public Comment Period
https://pages.nist.gov/800-63-3/
引用來源:
http://www.ithome.com.tw/news/112845