二要素認証にSMSを使用していますか?もう一度考える時間かもしれない

NISTは二要素認証に対する新しいアプローチを推奨しています。 (iStock)

ワンタップでログインしています:NFCの2要素認証がモバイルになっています;パスワードをパススルーに置き換える時期ですか? (elaptopcomputer.com);認証はパスワードをパージするためのマルチヘッドビーストです

2要素認証の登場により、パスワードを盗んだだけではシステムにアクセスできなくなったため、ハッカーにとってはますます難しくなっています。二要素認証を使用するには、通常はユーザーのスマートフォンに送信されるシステムのロックを解除するための2番目のコードが必要です。したがって、ハッカーはそのデバイスに手を置く必要があり、タスクをはるかに難しくします。

近年、企業システムだけでなく、電子メールなどの日常的なコンシューマアプリケーションにも2要素認証が広く普及しています。 SMS経由で第2のコードを送信することが最も一般的な実装方法です。

しかし、現在、技術標準を開発している米国連邦機関である国立標準技術研究所(NIST)は、SMSの使用が間もなく廃止されると警告しています。

セキュリティを強化し、重要なクラウドサービスが危険にさらされるリスクを劇的に削減するためのステップバイステップの手順。 MicrosoftやGoogleのアカウント、Office 365、Dropbox、Facebook、またはTwitterを使用している場合は、お読みください。

デジタル認証ガイドラインのドラフトでは、NISTは政府機関がリモートでシステムにアクセスしているときにユーザーを特定する方法をアドバイスしています。特に、Out-of-Band(OOB)認証と呼ばれるものについては、スマートフォンのように個人が所有して管理する物理的なデバイスに秘密のコードが送信され、その身元を確認する。

「SMSを使用しているOOBは非難されており、このガイダンスの今後のリリースではもう許可されません」とNISTの草案で述べています。

ガイドラインは詳細には触れていませんが、SMSベースの認証のダウングレードは、SMSの送信のセキュリティと傍受される可能性の懸念から生じる可能性があります。

NISTはまた、公衆携帯電話ネットワーク上で送信されたSMSメッセージを使用して検証を行う場合、企業はVoIPやその他のソフトウェアベースのサービスではなく、実際にモバイルネットワークに関連付けられていることを確認する必要があると付け加えました。

NISTによると、OOBオーセンティケータの2つの重要な要件は、デバイスが「一意にアドレス指定可能」であり、セカンダリチャネルを介した通信がプライベートであることです。「一部のVoIP電話サービス物理的な装置を所有する必要なしにテキストメッセージと音声通話を提供することができ、帯域外認証には使用しません。

また、電子メールメッセージや他の種類のインスタントメッセージを受信する能力は、「一般的には特定のデバイスの所有を証明しない」と警告しているため、帯域外認証方法としても使用しないでください。

NISTによれば、スマートフォンに送信される2要素認証コードは、コードが受信されたことを示すことは可能だが、どのデバイスのロック画面にも表示されないようにするべきだという。

SMSが古いと見なされれば、企業はアプリケーションベースの認証に切り替える可能性が高いとしている。「安全な通信プロトコルを使用するスマートフォンアプリケーションなどのメカニズムは帯域外認証に適している」

バイオメトリクスのオプションもありますが、バイオメトリックの誤一致率(FMR)と偽の不一致率(FNMR)のレベルは認証に信頼性をもたらさないため、「バイオメトリクスを認証に限定して使用する」ことを推奨しています加入者自身によるものである。さらに、FMRとFNMRは、なりすまし攻撃の原因とはなりません。

革新、?M2M市場がブラジルに戻ってくる、セキュリティー、FBIがCrackasのメンバーを逮捕米政府関係者のハッキングに対する態度、セキュリティ、Wordpressは重要なセキュリティホールを修正するために今更新するようユーザーに促す、セキュリティー、ホワイトハウスは連邦最高責任者情報セキュリティ責任者

NISTはまた、バイオメトリック特性は「秘密を構成しない」と指摘した。彼らは、オンラインで、または知識の有無にかかわらず、誰かが触れた物体(例えば、潜在指紋)から持ち上げられるか、または高解像度画像(例えば、虹彩)で捕捉されたカメラ付き携帯電話(例えば、顔画像)青い目の模様)」と述べた。

M2M市場はブラジルに戻ってくる

FBIは、米国の政府関係者をハッキングしたとの態度で、Crackasのメンバーを逮捕した

WordPressは、重要なセキュリティホールを修正するために今アップデートするようユーザに促す

ホワイトハウス、連邦最高情報セキュリティ責任者を任命

続きを読む