美国国家标准与技术研究所(NIST)表示, 令牌和应用程序应该替换掉文本验证码。同时建议放弃基于短信的双因素身份验证。


http://p3.qhimg.com/t01973b4f3f657f5e00.png

 

这是最新的数字认证指南草案的要点,可以在以下链接查看(https://pages.nist.gov/800-63-3/sp800-63b.html)。其中,5.1.3.2节表示使用短信验证的带外数据传输将会弃用,并且不会出现在将来的NIST的指导版本中。

这一变化的前兆发生在今年5月,而该机构现在已经开始着手整理针对该文档的第一轮公开评论。

NIST表示,从现在开始,目前仍在使用短信验证的服务需要确认消息是否发送到了一个手机号码上,而不是一个VoIP服务。

草案还表示用户需要更好的保护自己的消息,以免被劫持,例如攻击者可能会告诉服务提供者手机号码已经更改,从而劫持用户的消息。“在没有得到双因素身份认证的情况下不得改变事先注册的电话号码”草案中写道。

该指南——NIST特别发布的官方草案800 – 63B,是一个“公共预览版”。NIST表示,之所以选择这样一个术语,而不是它通常的提交过程,是因为他们想把文档放在GitHub上收集一些初步反应。

“我们将其称之为公共预览版,因为我们的一些代理合作伙伴(和NIST自身)在公共草案发布上有正式的流程。称之为公共预览版可以让每个人都知道这些流程方式不是在开玩笑。这可以让我们用一些不同的方式来做事情”,NIST写道。

该机构还指出,上传到GitHub的过程并不会取代公众意见,而是“将其添加到现有的开放和透明的进程中,我们将保持我们的传统,在这个过程结束的时候扩展公众的意见。”

在GitHub评论过程中,NIST希望人们关注于技术和程序的输入,而不是“语法或格式化”的讨论。

数字认证指南的GitHub主页参见下面这个链接(https://github.com/usnistgov/800-63-3)。

文章原文链接:https://www.anquanke.com/post/id/84278