极速飞艇开奖平台
极速飞艇开奖结果168 极速飞艇全天走势图 极速飞艇破解版 极速飞艇奖记录 极速飞艇免费全天计划 极速飞艇是哪里的彩种 极速飞艇pk10开奖直播 极速飞艇能玩吗 极速飞艇助手 极速飞艇操作 境外彩极速飞艇 极速飞艇有开奖记录吗 极速飞艇官方网站 98极速飞艇开奖记录 极速飞艇2破解版下载
当前位置:游戏巴士 > 游民星空 > 透过简讯执行二次验证不再安全,美国国家标準技术研究所建议别再

透过简讯执行二次验证不再安全,美国国家标準技术研究所建议别再

日期:2017-03-20

图片来源: 

周峻佑

在台湾,随着资安意识擡头,透过手机简讯执行进阶身分认证,在金融产业中,算是相当普遍的做法。然而,根据美国国家标準技术研究所(National Institute of Standards and Technology,NIST)在2016年的数位身分认证指南(Digital Authentication Guideline)中提到,他们建议企业不要再透过电信系统,包含简讯和电话语音的方式,执行二次验证,甚至计画即将把这种验证方式,排除在未来的进阶身分验证标準之外。Datablink亚太区行销副总裁Lawrence Ang认为,企业应考虑透过其他方式执行,若是同样要透过手机,以App的型式可以提供更加安全的验证流程。

Lawrence Ang在2017年资安大会的议程中指出,企业透过手机简讯提供进阶身分验证使用的一次性密码(OTP)固然方便,但从2010年首次发现骇客针对行动电话而来的中间人攻击(Man-In-The-Mobile,MitMo)之后,这种手法便层出不穷。

美国国家标準技术研究所(NIST)指出,透过手机简讯取得OTP认证码不够安全的因素有2个:一是行动装置的作业系统容易遭受木马程式的中间人攻击,进行控制;另一点则是在电信通讯基础上,传送简讯的安全性受到挑战。

最早出现的是Zeus-In-The-Mobile(ZitMo),这是可在Windows Mobile、Android、Symbian,以及BlackBerry平台中执行,并拦截简讯中OTP的行动装置恶意软体,感染途?#23545;?#26159;藉由已感染Zeus恶意程式的电脑,诱使用户在行动装置上安装。

另一个同样是针对手机简讯而来,也相当有指标性的恶意软体是SpyEye(另一种说法是SpyEye-In-The-Mobile,因此也有人写成SPITMO),在2012年时,这个软体大肆感?#22659;?#36807;140万台的电脑与行动装置。同一年,Eurograbber以同样的攻击手法,从3万个企业与个人的银行帐户中,总计窃取高达3千6百万欧元。

如今,针对Android手机的简讯拦截,2016年甚至在俄国和巴西等地,已有骇客直接销售木马攻击套件,代表性的恶意攻击程式是Android.Bankosy。

Lawrence Ang以Datablink近期推出的行动装置方案Mobile 110与简讯加以比较,?#24471;?#20197;简讯OTP验证的缺点,包括SIM卡片内容容易遭到複製、能够做为认证的讯息只有文字,而?#19968;?#19981;能太长,而手机App(Mobile 110)则?#21830;?#20379;较多元且安全的机制,像是透过多项内容的比对的验证模式,或是推送(Push),使用者需在手机点选才能完成流程等方法。此外,从便利性的角度来看,相较于简讯必须透过安装SIM卡的手机,若是採用App执行身分认证,使用者只要在行动装置上安装就能使用,不一定要特定的装置才行。

他也引用Gartner的数据指出,虽然目前使用手机App的OTP比例还不高,但由于智慧型手机的普及,预估将成为2018年最主要的进阶身分认证方式之一。


极速飞艇开奖平台
极速飞艇开奖结果168 极速飞艇全天走势图 极速飞艇破解版 极速飞艇奖记录 极速飞艇免费全天计划 极速飞艇是哪里的彩种 极速飞艇pk10开奖直播 极速飞艇能玩吗 极速飞艇助手 极速飞艇操作 境外彩极速飞艇 极速飞艇有开奖记录吗 极速飞艇官方网站 98极速飞艇开奖记录 极速飞艇2破解版下载
神秘的诱惑援彩金 我的世界攻略 大厨师电子游戏 丛林心脏APP 体彩广东十一选五 北京塞车pk10开奖记录 手机热门棋牌 波音777座位图 浙江网35选7走势图 qq飞车官方