NIST ระบุ SMS ไม่ปลอดภัยสำหรับการพิสูจน์ตัวตนอีกต่อไป

สถาบันมาตรฐานและเทคโนโลยีแห่งชาติสหรัฐฯ (NIST) ออกคู่มือแนะนำการพิสูจน์ตัวตนดิจิทัลฉบับร่างอันใหม่ ระบุเตรียมเลิกใช้การพิสูจน์ตัวตนแบบ 2-Factor Authentication ที่ใช้การยืนยันผ่าน SMS เนื่องจากไม่มั่นคงปลอดภัยอีกต่อไป แนะนำใช้ Token หรือ Apps แทน

Credit: CLIPAREA/ShutterStock
Credit: CLIPAREA/ShutterStock

เรียกว่าเป็นสาระสำคัญของของคู่มือแนะนำการพิสูจน์ตัวตนดิจิทัล (Digital Authentication Guideline) ฉบับร่างล่าสุดเลยก็ว่าได้ ภายใต้หัวข้อ 5.1.3.2 คู่มือระบุว่า การยืนยันตัวตนภายนอกโดยใช้ SMS จะถูกเลิกใช้งาน และจะไม่ปรากฏในคู่มือแนะนำของ NIST ในอนาคตอีกต่อไป

สำหรับตอนนี้ NIST ระบุว่า บริการที่ยังคงใช้การยืนยันตัวตนผ่าน SMS จำเป็นต้องยืนยันว่า ข้อความยืนยันตัวตนถูกส่งออกไปยังเบอร์โทรศัพท์ ไม่ใช้บริการ VoIP นอกจากนี้ คณะกรรมการยังระบุอีกว่า ผู้ใช้จำเป็นต้องได้รับการปกป้องจากการถูกไฮแจ็คข้อความ ยกตัวอย่างเช่น แฮ็คเกอร์หลอกผู้ให้บริการโทรศัพท์มือถือว่า มีการเปลี่ยนหมายเลขโทรศัพท์ เอกสารระบุอย่างชัดเจนว่า “การเปลี่ยนหมายเลขโทรศัพท์ที่มีการลงทะเบียนไว้ก่อนแล้วจะไม่สามารถทำได้ ถ้าไม่มีการพิสูจน์ตัวตนแบบ 2-Factor Authentication ณ ขณะที่ทำการเปลี่ยน”

คู่มือแนะนำฉบับล่าสุดนี้มีชื่ออย่างเป็นทางการว่า “Draft NIST Special Publication 800-63B” ซึ่งเป็นเวอร์ชัน “Public Preview” สำหรับให้บุคคลทั่วไปสามารถเปิดอ่านก่อนได้อย่างอิสระ เนื่องจาก NIST ต้องการเก็บข้อมูล Feedback เพื่อนำไปปรับปรุงแก้ไขให้ดียิ่งขึ้น

อ่านคู่มือแนะนำการพิสูจน์ตัวตนดิจิทัลได้ที่: https://pages.nist.gov/800-63-3/sp800-63b.html

ที่มา: http://www.theregister.co.uk/2016/07/24/nist_says_sms_no_good_for_authentication/



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Avast เปิด Open Source ให้ RetDec Decompiler สำหรับใช้วิเคราะห์ Ransomware โดยเฉพาะ

Avast ได้ออกมาประกาศเปิด Open Source ให้กับ RetDec ระบบ Complier สำหรับใช้ในการ Decompile จาก Machine Code ให้กลายมาเป็น Source …

สารภาพแล้ว 3 แฮ็กเกอร์ผู้สร้าง Mirai DDoS Botnet

หลังจากที่ Mirai DDoS Botnet ปรากฏโฉมเมื่อช่วงปลายที่ 2016 และถูกผู้ไม่ประสงค์ดีนำไปใช้เพื่อสร้างความวุ่นวายแก่ ISP, เว็บไซต์ และองค์กรชื่อดังไปทั่วทั้งโลกแล้ว ล่าสุด ทางการสหรัฐฯ ออกแถลงการณ์ 3 แฮ็กเกอร์ผู้อยู่เบื้องหลังการพัฒนา …