簡訊認證不再安全 建議改用 App OTP 認證

現在做身份確認，常常會使用簡訊來認證，這個已經被認定不是安全的作法，建議改用 App OTP 的認證方式比較安全。

簡訊認證不再安全 建議改用 App OTP 認證

下述的整理彙整，整理自此篇文章：透過簡訊執行二次驗證不再安全，美國國家標準技術研究所建議別再使用

簡訊 OTP 認證的缺點

1. SIM卡片內容 容易遭到複製
2. 認證的訊息只有文字，而且不能太長

手機 App 認證的優點

1. 手機App 可提供較多元且安全的機制，像是透過多項內容的比對的驗證模式，或是推送（Push），使用者需在手機點選才能完成流程等方法
2. 若是採用 App 執行身分認證，使用者只要在行動裝置上安裝就能使用，不一定要特定的裝置才行。(也避開電信系統的問題)

新聞摘要：

• 美國國家標準技術研究所（National Institute of Standards and Technology，NIST）在2016年的數位身分認證指南（Digital Authentication Guideline）中提到，他們建議企業不要再透過電信系統，包含簡訊和電話語音的方式，執行二次驗證，甚至計畫即將把這種驗證方式，排除在未來的進階身分驗證標準之外。
• Datablink亞太區行銷副總裁Lawrence Ang認為，企業應考慮透過其他方式執行，若是同樣要透過手機，以 App 的型式可以提供更加安全的驗證流程。
• 企業透過手機簡訊提供進階身分驗證使用的一次性密碼（OTP）固然方便，但從 2010年 首次發現駭客針對行動電話而來的中間人攻擊（Man-In-The-Mobile，MitMo）之後，這種手法便層出不窮。
• 下述是已經於手機上見到的木馬、惡意程式：
  • Zeus-In-The-Mobile（ZitMo）
  • SpyEye (SpyEye-In-The-Mobile、SPITMO)
  • Android.Bankosy