NIST ระบุ SMS ไม่ปลอดภัยสำหรับการพิสูจน์ตัวตนอีกต่อไป

สถาบันมาตรฐานและเทคโนโลยีแห่งชาติสหรัฐฯ (NIST) ออกคู่มือแนะนำการพิสูจน์ตัวตนดิจิทัลฉบับร่างอันใหม่ ระบุเตรียมเลิกใช้การพิสูจน์ตัวตนแบบ 2-Factor Authentication ที่ใช้การยืนยันผ่าน SMS เนื่องจากไม่มั่นคงปลอดภัยอีกต่อไป แนะนำใช้ Token หรือ Apps แทน

Credit: CLIPAREA/ShutterStock
Credit: CLIPAREA/ShutterStock

เรียกว่าเป็นสาระสำคัญของของคู่มือแนะนำการพิสูจน์ตัวตนดิจิทัล (Digital Authentication Guideline) ฉบับร่างล่าสุดเลยก็ว่าได้ ภายใต้หัวข้อ 5.1.3.2 คู่มือระบุว่า การยืนยันตัวตนภายนอกโดยใช้ SMS จะถูกเลิกใช้งาน และจะไม่ปรากฏในคู่มือแนะนำของ NIST ในอนาคตอีกต่อไป

สำหรับตอนนี้ NIST ระบุว่า บริการที่ยังคงใช้การยืนยันตัวตนผ่าน SMS จำเป็นต้องยืนยันว่า ข้อความยืนยันตัวตนถูกส่งออกไปยังเบอร์โทรศัพท์ ไม่ใช้บริการ VoIP นอกจากนี้ คณะกรรมการยังระบุอีกว่า ผู้ใช้จำเป็นต้องได้รับการปกป้องจากการถูกไฮแจ็คข้อความ ยกตัวอย่างเช่น แฮ็คเกอร์หลอกผู้ให้บริการโทรศัพท์มือถือว่า มีการเปลี่ยนหมายเลขโทรศัพท์ เอกสารระบุอย่างชัดเจนว่า “การเปลี่ยนหมายเลขโทรศัพท์ที่มีการลงทะเบียนไว้ก่อนแล้วจะไม่สามารถทำได้ ถ้าไม่มีการพิสูจน์ตัวตนแบบ 2-Factor Authentication ณ ขณะที่ทำการเปลี่ยน”

คู่มือแนะนำฉบับล่าสุดนี้มีชื่ออย่างเป็นทางการว่า “Draft NIST Special Publication 800-63B” ซึ่งเป็นเวอร์ชัน “Public Preview” สำหรับให้บุคคลทั่วไปสามารถเปิดอ่านก่อนได้อย่างอิสระ เนื่องจาก NIST ต้องการเก็บข้อมูล Feedback เพื่อนำไปปรับปรุงแก้ไขให้ดียิ่งขึ้น

อ่านคู่มือแนะนำการพิสูจน์ตัวตนดิจิทัลได้ที่: https://pages.nist.gov/800-63-3/sp800-63b.html

ที่มา: http://www.theregister.co.uk/2016/07/24/nist_says_sms_no_good_for_authentication/



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Joomla! 3.7.5 ออกแล้ว แก้บั๊กระหว่างติดตั้งเพิ่มเติม

Joomla! ประกาศออกรุ่น 3.7.5 ออกมาแล้วอย่างเป็นทางการ โดยแก้บั๊กให้กับการอัปเดตด้านความมั่นคงปลอดภัยที่เพิ่มเติมเข้ามาให้กับ 3.7.4 เป็นหลัก

เปิดตัว Drupal 8.3.7 อุดช่องโหว่ด้านความมั่นคงปลอดภัย 3 รายการ

Drupal ได้ออกอัปเดตรุ่น 8.3.7 ซึ่งเป็น Maintenance Release ออกมาสำหรับอุดช่องโหว่ด้านความมั่นคงปลอดภัยโดยเฉพาะ