短信验证被NIST建议弃用.PDFVIP

短信验证被NIST建议弃用 近日，美国国家标准技术研究所(NIST)发布了SP800-63B “Digital Authentication Guideline”（数字身份认证指南） 的公开预览草案。草案建议，放弃基于短信的双因素身份验证 （SecondFactorAuthentication，2FA）。其5.1.3.2节明确指 出，“使用短信验证的带外数据传输将会弃用，并且不会出现在 将来的NIST 的指导版本中”。 短信验证指的是系统通过短信将验证码发给用户的手机，用 户将从手机收到的验证码输入系统来完成验证的过程。基于移动 通信网络的短信验证与互联网应用构成典型的双信道结构，配合 双因素认证机制可以有效地增加安全强度，因其使用便捷而得到 广泛应用。Gmail、Apple ID 等互联网服务均使用了短信验证。 然而，随着科学技术的发展，移动通信网络与互联网出现相互融 合的趋势，以及移动互联网的普及应用，“短信验证＋互联网应 用”的双信道特征日益模糊，其安全性不仅越发得不到保证，作 为安全漏洞被利用的风险也是与日俱增。搜索“短信验证码接收 平台”，可以轻易找到多个能够接收短信验证码的应用服务 （见 图 1）。NIST在SP800-63B草案中指出，目前仍在使用短信验证 的服务需要确认消息是否发送到了一个手机号码上，而不是一个 VoIP服务。除此之外，SP800-63B草案还表示用户需要更好的保 护自己的消息，以免被劫持，例如攻击者可能会告诉服务提供者 手机号码已经更改，从而劫持用户的消息。“如果没有双因素身 份验证的情况，应不可更改预登记电话号码”，草案中写道。由 此可见，基于短信验证的双因素认证机制，其安全性已经“岌岌 可危”。 图 1 百度搜索截图 目前，在金融行业，短信验证是被认可的信息安全保障机制。 金融行业标准JR/T 0068-2012 《网上银行系统信息安全通用规 范》规定，通过网上银行渠道申请资金类交易开通等关键业务时， “金融机构应采取双因素身份认证验证客户的真实身份及银行 卡交易密码，并通过验证发向可靠的预留手机号码的短信验证码 等方式，请求客户本人对交易开通操作进行确认”。然而，受到 当前技术水平的制约，对于如何保证预留手机号码可靠，以及如 何验证预留手机号码是否可靠，没有做出明确的规定。中国人民 银行 《关于推动移动金融技术创新健康发展的指导意见》（银发 [2015]11号）指出，“各商业银行和银行卡清算机构应使用可靠 的多因素认证方式……使用一次性安全验证码（如手机短信验证 码）作为多因素之一时，应切实防控一次性安全码获取端与交易 指令发起端为同一物理设备等隐患带来的风险”，同样也没有给 出具体的防控措施的指导。 NIST 的安全指南主要供美国联邦政府使用，在世界范围内 具有广泛的影响。NIST 首次在公开发布的文献中建议放弃短信 验证，表明短信验证的安全风险已经达到相当高的程度。在当前 的情况下，需要金融机构发挥主观能动性，在主管机构意见及行 业标准的框架下进一步采取措施，防控风险。目前JR/T0068的 修订版正在征求意见，其中对短信验证码增加了若干具体的规定， 包括短信验证码应具有时效性，最长不超过3分钟，超过有效时 间应立即作废；交易的关键信息应与短信验证码一起发送给客户， 并提示客户确认；短信验证信息应严格保护客户信息，短信内容 中不应包含任何客户信息的明文内容，等等。这些措施可以作为 金融机构降低短信验证风险的参考。除此之外，还应尽快对适用 于互联网环境的新一代双因素身份认证协议（例如FIDOUAF/U2F） 进行评估，力争早日找到短信验证的替代者。