兩步驗證(2-factor Authentication)是現時較安全的登入方式,但美國國家標準技術研究所(NIST)正在草擬的數碼認證指引指出,利用手機短訊(SMS)的兩步驗證並不安全,考慮在將來禁止使用。
美國 NIST 現正草擬新版本的數碼認證指引(Digital Authentication Guideline),當中提出基於 SMS 的兩步驗證並不安全。美國的科技公司均需遵守指引,假如新指引通過的話,蘋果、Google 等企業可受影響。現時公眾可就指引發表意見。
指引指出,SMS 不是一個安全的渠道接收第二認證,因為用戶的智能手機有可能被盜,這樣 SMS 兩步驗證便無法確保帳戶安全。此外 SMS 可被黑客透過 VoIP 截取。
因此 NSIT 建議使用安全認證程式或生物識別來取代 SMS 兩步驗證;如要使用 SMS 兩步驗證,服務提供者需確保訊息透過流動網絡傳送以及不要使用 VoIP,在將來的指引更可能禁止使用。
Source : SlashGear , The Register
