Breaking News

NIST ระบุ SMS ไม่ปลอดภัยสำหรับการพิสูจน์ตัวตนอีกต่อไป

สถาบันมาตรฐานและเทคโนโลยีแห่งชาติสหรัฐฯ (NIST) ออกคู่มือแนะนำการพิสูจน์ตัวตนดิจิทัลฉบับร่างอันใหม่ ระบุเตรียมเลิกใช้การพิสูจน์ตัวตนแบบ 2-Factor Authentication ที่ใช้การยืนยันผ่าน SMS เนื่องจากไม่มั่นคงปลอดภัยอีกต่อไป แนะนำใช้ Token หรือ Apps แทน

Credit: CLIPAREA/ShutterStock
Credit: CLIPAREA/ShutterStock

เรียกว่าเป็นสาระสำคัญของของคู่มือแนะนำการพิสูจน์ตัวตนดิจิทัล (Digital Authentication Guideline) ฉบับร่างล่าสุดเลยก็ว่าได้ ภายใต้หัวข้อ 5.1.3.2 คู่มือระบุว่า การยืนยันตัวตนภายนอกโดยใช้ SMS จะถูกเลิกใช้งาน และจะไม่ปรากฏในคู่มือแนะนำของ NIST ในอนาคตอีกต่อไป

สำหรับตอนนี้ NIST ระบุว่า บริการที่ยังคงใช้การยืนยันตัวตนผ่าน SMS จำเป็นต้องยืนยันว่า ข้อความยืนยันตัวตนถูกส่งออกไปยังเบอร์โทรศัพท์ ไม่ใช้บริการ VoIP นอกจากนี้ คณะกรรมการยังระบุอีกว่า ผู้ใช้จำเป็นต้องได้รับการปกป้องจากการถูกไฮแจ็คข้อความ ยกตัวอย่างเช่น แฮ็คเกอร์หลอกผู้ให้บริการโทรศัพท์มือถือว่า มีการเปลี่ยนหมายเลขโทรศัพท์ เอกสารระบุอย่างชัดเจนว่า “การเปลี่ยนหมายเลขโทรศัพท์ที่มีการลงทะเบียนไว้ก่อนแล้วจะไม่สามารถทำได้ ถ้าไม่มีการพิสูจน์ตัวตนแบบ 2-Factor Authentication ณ ขณะที่ทำการเปลี่ยน”

คู่มือแนะนำฉบับล่าสุดนี้มีชื่ออย่างเป็นทางการว่า “Draft NIST Special Publication 800-63B” ซึ่งเป็นเวอร์ชัน “Public Preview” สำหรับให้บุคคลทั่วไปสามารถเปิดอ่านก่อนได้อย่างอิสระ เนื่องจาก NIST ต้องการเก็บข้อมูล Feedback เพื่อนำไปปรับปรุงแก้ไขให้ดียิ่งขึ้น

อ่านคู่มือแนะนำการพิสูจน์ตัวตนดิจิทัลได้ที่: https://pages.nist.gov/800-63-3/sp800-63b.html

ที่มา: http://www.theregister.co.uk/2016/07/24/nist_says_sms_no_good_for_authentication/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

พบช่องโหว่ใหม่กว่า 120 รายการบน Router และ NAS ยอดนิยม

รายงาน SOHOpelessly Broken 2.0 จาก Independent Security Evaluators (ISE) เปิดเผยว่า พบช่องโหว่ด้านความมั่นคงปลอดภัยใหม่รวมทั้งสิ้น 125 รายการบนอุปกรณ์ Router และ …

เตือนช่องโหว่ Zero-day กระทบ phpMyAdmin ทุกเวอร์ชัน

Manuel Garcia Cardenas นักวิจัยด้านความมั่นคงปลอดภัยและ Pentester ได้ออกมาเปิดเผยถึงช่องโหว่ Zero-day บน phpMyAdmin ที่ยังไม่ถูกแพตช์ พร้อมหลักฐาน PoC ซึ่งช่วยให้แฮ็กเกอร์โจมตีแบบ Cross-site Request …