NIST ระบุ SMS ไม่ปลอดภัยสำหรับการพิสูจน์ตัวตนอีกต่อไป

สถาบันมาตรฐานและเทคโนโลยีแห่งชาติสหรัฐฯ (NIST) ออกคู่มือแนะนำการพิสูจน์ตัวตนดิจิทัลฉบับร่างอันใหม่ ระบุเตรียมเลิกใช้การพิสูจน์ตัวตนแบบ 2-Factor Authentication ที่ใช้การยืนยันผ่าน SMS เนื่องจากไม่มั่นคงปลอดภัยอีกต่อไป แนะนำใช้ Token หรือ Apps แทน

Credit: CLIPAREA/ShutterStock
Credit: CLIPAREA/ShutterStock

เรียกว่าเป็นสาระสำคัญของของคู่มือแนะนำการพิสูจน์ตัวตนดิจิทัล (Digital Authentication Guideline) ฉบับร่างล่าสุดเลยก็ว่าได้ ภายใต้หัวข้อ 5.1.3.2 คู่มือระบุว่า การยืนยันตัวตนภายนอกโดยใช้ SMS จะถูกเลิกใช้งาน และจะไม่ปรากฏในคู่มือแนะนำของ NIST ในอนาคตอีกต่อไป

สำหรับตอนนี้ NIST ระบุว่า บริการที่ยังคงใช้การยืนยันตัวตนผ่าน SMS จำเป็นต้องยืนยันว่า ข้อความยืนยันตัวตนถูกส่งออกไปยังเบอร์โทรศัพท์ ไม่ใช้บริการ VoIP นอกจากนี้ คณะกรรมการยังระบุอีกว่า ผู้ใช้จำเป็นต้องได้รับการปกป้องจากการถูกไฮแจ็คข้อความ ยกตัวอย่างเช่น แฮ็คเกอร์หลอกผู้ให้บริการโทรศัพท์มือถือว่า มีการเปลี่ยนหมายเลขโทรศัพท์ เอกสารระบุอย่างชัดเจนว่า “การเปลี่ยนหมายเลขโทรศัพท์ที่มีการลงทะเบียนไว้ก่อนแล้วจะไม่สามารถทำได้ ถ้าไม่มีการพิสูจน์ตัวตนแบบ 2-Factor Authentication ณ ขณะที่ทำการเปลี่ยน”

คู่มือแนะนำฉบับล่าสุดนี้มีชื่ออย่างเป็นทางการว่า “Draft NIST Special Publication 800-63B” ซึ่งเป็นเวอร์ชัน “Public Preview” สำหรับให้บุคคลทั่วไปสามารถเปิดอ่านก่อนได้อย่างอิสระ เนื่องจาก NIST ต้องการเก็บข้อมูล Feedback เพื่อนำไปปรับปรุงแก้ไขให้ดียิ่งขึ้น

อ่านคู่มือแนะนำการพิสูจน์ตัวตนดิจิทัลได้ที่: https://pages.nist.gov/800-63-3/sp800-63b.html

ที่มา: http://www.theregister.co.uk/2016/07/24/nist_says_sms_no_good_for_authentication/



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

นักวิจัยค้นพบวิธีป้องกันไม่ให้ Petya Ransomware โจมตีได้ชั่วคราวแล้ว

Amit Serper นักวิจัยด้านความมั่นคงปลอดภัยจาก Cybereason ได้ออกมาเปิดเผยถึงวิธีการป้องกันไม่ให้ Petya Ransomware ตัวใหม่ที่กำลังระบาดอยู่นี้ทำการโจมตีเครื่องคอมพิวเตอร์ได้สำเร็จ

Email สำหรับจ่ายค่าไถ่ Petya Ransomware ถูกผู้ให้บริการสั่งปิด เหยื่อยืนยันการจ่ายค่าไถ่ไม่ได้แล้ว

นับเป็นข่าวร้ายสำหรับเหยื่อของ Petya Ransomware ที่ระบาดอย่างหนักใน 3 วันที่ผ่านมา เมื่อ Posteo ผู้ให้บริการ Email ที่ผู้พัฒนา Petya ใช้ในการติดต่อเหยื่อเพื่อรับการยืนยันค่าไถ่และส่งกุญแจถอดรหัสให้ สั่งปิดอีเมล์ wowsmith123456@posteo.net …