TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
สถาบันมาตรฐานและเทคโนโลยีแห่งชาติสหรัฐฯ (NIST) ออกคู่มือแนะนำการพิสูจน์ตัวตนดิจิทัลฉบับร่างอันใหม่ ระบุเตรียมเลิกใช้การพิสูจน์ตัวตนแบบ 2-Factor Authentication ที่ใช้การยืนยันผ่าน SMS เนื่องจากไม่มั่นคงปลอดภัยอีกต่อไป แนะนำใช้ Token หรือ Apps แทน
เรียกว่าเป็นสาระสำคัญของของคู่มือแนะนำการพิสูจน์ตัวตนดิจิทัล (Digital Authentication Guideline) ฉบับร่างล่าสุดเลยก็ว่าได้ ภายใต้หัวข้อ 5.1.3.2 คู่มือระบุว่า การยืนยันตัวตนภายนอกโดยใช้ SMS จะถูกเลิกใช้งาน และจะไม่ปรากฏในคู่มือแนะนำของ NIST ในอนาคตอีกต่อไป
สำหรับตอนนี้ NIST ระบุว่า บริการที่ยังคงใช้การยืนยันตัวตนผ่าน SMS จำเป็นต้องยืนยันว่า ข้อความยืนยันตัวตนถูกส่งออกไปยังเบอร์โทรศัพท์ ไม่ใช้บริการ VoIP นอกจากนี้ คณะกรรมการยังระบุอีกว่า ผู้ใช้จำเป็นต้องได้รับการปกป้องจากการถูกไฮแจ็คข้อความ ยกตัวอย่างเช่น แฮ็คเกอร์หลอกผู้ให้บริการโทรศัพท์มือถือว่า มีการเปลี่ยนหมายเลขโทรศัพท์ เอกสารระบุอย่างชัดเจนว่า “การเปลี่ยนหมายเลขโทรศัพท์ที่มีการลงทะเบียนไว้ก่อนแล้วจะไม่สามารถทำได้ ถ้าไม่มีการพิสูจน์ตัวตนแบบ 2-Factor Authentication ณ ขณะที่ทำการเปลี่ยน”
คู่มือแนะนำฉบับล่าสุดนี้มีชื่ออย่างเป็นทางการว่า “Draft NIST Special Publication 800-63B” ซึ่งเป็นเวอร์ชัน “Public Preview” สำหรับให้บุคคลทั่วไปสามารถเปิดอ่านก่อนได้อย่างอิสระ เนื่องจาก NIST ต้องการเก็บข้อมูล Feedback เพื่อนำไปปรับปรุงแก้ไขให้ดียิ่งขึ้น
อ่านคู่มือแนะนำการพิสูจน์ตัวตนดิจิทัลได้ที่: https://pages.nist.gov/800-63-3/sp800-63b.html
ที่มา: http://www.theregister.co.uk/2016/07/24/nist_says_sms_no_good_for_authentication/
