NIST美國國家標準技術研究院正在更新對於數位線上身份認證的準則,似乎做了相當大的更新 2013年版 (800-63-2) 在其最新的公共草案,發表於 5 月 8 日,標題為"特刊 800-63-3 認證和生命週期管理"。
NIST 的準則不僅影響是政府機構,而是也向下滲透通知私營部門處理身份和存取管理的方式。這就是為什麼有效的強大認證準則、 身份證明和識別身分聯盟最新的檢修,對於每位想要保持他們的線上身份資訊、 資料和帳戶安全,是個好消息。
對於基於 SMS 的 OOB 身份驗證中,NIST 在公共草案中寫道︰
"由於 SMS訊息可能會被攔截或重新定向的風險,新系統的執行者應仔細考慮替代認證程序。如果攜帶式驗證是使用公共的行動電話網路上的 SMS 訊息形式提出,驗證者將驗證正在使用的預先登記的電話號碼實際上是與行動網絡相關,並且不與一個的VoIP(或其他軟體基礎)服務。然後它發送SMS訊息給預先登記的電話號碼。若要改變預先登記的電話號碼,在更改的當下,不應該沒有雙因素驗證。 OOB利用手機簡訊已被棄用,且可能不在未來版本的準則中被允許“
為了澄清,許多詐欺性網上銀行交易的成功歸功於手機通話和簡訊轉發到小偷的帳戶的難易程度。對於大多數人口,這一切都太容易有您的營運商帳戶密碼通過網絡釣魚或一般的低階惡意軟體的侵害。一旦存取被盜的密碼帳戶,更改帳戶設置轉發所有傳入的郵件和電話至詐騙者的手機是輕而易舉。
進入 OOB 使用推播通知身份驗證,這從 NIST 獲得好評。引述,"如果頻外管理是使用安全的應用程式進行 (例如,在智慧手機上),驗證者可以發送推播通知到該設備。"由於此方法涉及到安裝在使用者應用程式裝置,上述詐欺情況將不適用。它是如何運作的呢?當存取受保護的資源,推播通知是發送到使用者的行動裝置。在使用者打開 OOB 應用程式,點擊批准登錄請求,然後登錄到該資源紀錄。有趣的是,Gartner預測,“到2019年,手機作為一種令牌部署的60%使用者將採用了頻外推播模式是未來廣大的用戶;而目前卻佔不到10%。”
NIST的新的準則藉由社交媒體和零售網站廣泛採用基於SMS的OOB登上頭條新聞。該方法的普及很大因素是其易用性和實際網站不必分發任何硬體或軟體,並可以支援任何傳統型電話。 隨著數位詐騙不斷演變的性質,上述狀況只是按常理來說,NIST 應逐步發展其準則以跟上目前非正常的行為者。
總而言之,能夠使用推播身份驗證等強大的驗證方法皆與選擇有關,靈活性 — — 確保使用的保險水平對於被存取的資產靈敏度是適當的。因此,儘管NIST已經給SMS認證不好的評價,企業在他們的配置上 ,仍有廣泛的身分驗證方法可提供高水準且結合安全、輕鬆、不引人注目的用戶體驗
有關於在行動裝置上的身分驗證詳細資訊,請觀看SafeNet MobilePASS+: https://youtu.be/gH4HHw4lBzM
參考資料來源:
http://blog.gemalto.com/security/2016/08/10/nist-push-authentication-in-out-of-band-out/
欲詳細了解產品資訊請拜訪:
正新電腦 www.pronew.com.tw 04-24738309
#身分驗證#頻外驗證#OOB驗證#推播通知驗證#雙因素驗證#SMS#簡訊認證#OTP #行動裝置#一鍵登入#MobilePASS #MobilePASS+
#Gemalto #SafeNet #正新電腦