Het National Institute of Eisen en Innovation (NIST) staat op het punt de deur te sluiten op het gebruik van het Short-Messaging-Service (SMS) -systeem als een Secundaire validatietechniek voor services en apps die tweefactor-authenticatie willen instellen.
NIST is moeilijk op het werk geweest om de richtlijnen voor digitale authenticatie te onderzoeken, wat een substantieel artikel is dat in wezen het beleid schetst dat makers van authenticatiesoftware -applicatie moeten volgen, en heeft de stap gezet om het gebruik van sms te verdubbelen als een techniek van levering een secundair veiligheidsniveau tegen een account. Het lijkt de overtuiging van NIST te zijn dat het verspreiden van dat materiaal door middel van sms -bericht niet langer als veilig genoeg kan worden geclassificeerd.
Zowel bedrijven als serviceleveranciers die tweefactor-authenticatie aanbieden als een veel robuuster bepaling van veiligheid tegen een account, hebben al lang SMS-sms-berichten gebruikt als een methode om die extra beveiliging op te zetten. Veel vaker dan niet, het wordt beschouwd als een basisoptie om nog een veiligheidslaag toe te voegen bovenop een fundamenteel wachtwoord, met een paar van de grootste bedrijven ter wereld zoals Apple en Google die het implementeren, samen met zijn Eigen opties zoals in staat zijn om winst toegang te kunnen bevestigen met een secundair “vertrouwd apparaat” of door middel van e -mail.
De nieuwe richtlijnen voorkomen absoluut dat het gebruik van sms als een “out of band authenticator”, die in het algemeen aangeeft dat de zaken moeten worden ontmoedigd om sms-berichten te gebruiken als een duidt op het geven van eenmalig gebruik van codes voor tweefactor-authenticatie:
Als de buitenbandverificatie moet worden gemaakt met behulp van een SMS-bericht op een openbaar mobiel telefoonnetwerk, bevestigt de verificateur dat het vooraf geregistreerde telefoonnummer dat wordt gebruikt echt verbonden is met een mobiel netwerk en niet met een VoIP (of andere software-gebaseerde) service. Vervolgens verzendt het SMS-bericht naar het vooraf geregistreerde telefoonnummer. Het wijzigen van het vooraf geregistreerde telefoonnummer is niet mogelijk zonder tweefactorauthenticatie op het moment van de wijziging. OOB met behulp van sms is verouderd, en zal niet langer worden ingeschakeld in toekomstige releases van deze richtlijnen.
De nieuwe richtlijnen kunnen aanzienlijk zijn in de wijzigingen en aanbevelingen, zoals u zou verwachten van een paper van deze aard, maar het lijkt erop dat er een onderliggende nadruk ligt om ervoor te zorgen dat materiaal niet langer wordt verzonden door middel van technieken die kunnen worden beschouwd Om onzeker te zijn, zoals sms -bericht of zelfs VoIP -services, die al zijn geverifieerd als vrij eenvoudig te compromitteren.
Het zal heel fascinerend zijn om precies te zien hoe zaken reageren op, en de nieuwe richtlijnen in de toekomst te implementeren.
(Bron: NIST, Via: TechCrunch)
Misschien wil je ook inspecteren:
Jailbreak iOS 9.3.3, 9.3.2, veel meer met Pangu op iPhone en iPad [bijgewerkt]
Schakel tweefactor-authenticatie in op Apple ID / iCloud, hier is hoe
Hoe u tweestaps verificatie kunt toestaan voor Apple ID / iTunes / iCloud
U kunt ons op Twitter naleven, ons toevoegen aan uw cirkel op Google+ of zoals onze Facebook -pagina zoals om uzelf op de hoogte te houden van alle huidige van Microsoft, Google, Apple en het web.