簡訊認證不再安全 建議改用 App OTP 認證

現在做身份確認,常常會使用簡訊來認證,這個已經被認定不是安全的作法,建議改用 App OTP 的認證方式比較安全。

簡訊認證不再安全 建議改用 App OTP 認證

下述的整理彙整,整理自此篇文章:透過簡訊執行二次驗證不再安全,美國國家標準技術研究所建議別再使用

簡訊 OTP 認證的缺點

  1. SIM卡片內容 容易遭到複製
  2. 認證的訊息只有文字,而且不能太長

手機 App 認證的優點

  1. 手機App 可提供較多元且安全的機制,像是透過多項內容的比對的驗證模式,或是推送(Push),使用者需在手機點選才能完成流程等方法
  2. 若是採用 App 執行身分認證,使用者只要在行動裝置上安裝就能使用,不一定要特定的裝置才行。(也避開電信系統的問題)

新聞摘要:

  • 美國國家標準技術研究所(National Institute of Standards and Technology,NIST)在2016年的數位身分認證指南(Digital Authentication Guideline)中提到,他們建議企業不要再透過電信系統,包含簡訊和電話語音的方式,執行二次驗證,甚至計畫即將把這種驗證方式,排除在未來的進階身分驗證標準之外。
  • Datablink亞太區行銷副總裁Lawrence Ang認為,企業應考慮透過其他方式執行,若是同樣要透過手機,以 App 的型式可以提供更加安全的驗證流程。
  • 企業透過手機簡訊提供進階身分驗證使用的一次性密碼(OTP)固然方便,但從 2010年 首次發現駭客針對行動電話而來的中間人攻擊(Man-In-The-Mobile,MitMo)之後,這種手法便層出不窮。
  • 下述是已經於手機上見到的木馬、惡意程式:
    • Zeus-In-The-Mobile(ZitMo)
    • SpyEye (SpyEye-In-The-Mobile、SPITMO)
    • Android.Bankosy

關於「Tsung」

對新奇的事物都很有興趣, 喜歡簡單的東西, 過簡單的生活.
分類: News,標籤: , , , , 。這篇內容的永久連結

發表迴響

這個網站採用 Akismet 服務減少垃圾留言。進一步瞭解 Akismet 如何處理網站訪客的留言資料