Tags:
Node Thumbnail

NIST หน่วยงานออกมาตรฐานอุตสาหกรรมที่เป็นผู้ออกมาตรฐานการเข้ารหัสจำนวนมากในทุกวันนี้ เปิดรับฟังความเห็นร่างเอกสาร NIST SP 800-63B มาตรฐานการยืนยันตัวตนดิจิตอลเวอร์ชั่นใหม่ เพื่อรับฟังความเห็นจากสาธารณะ

เอกสารนี้กำหนดมาตรฐานกระบวนการยืนยันตัวตนให้ปลอดภัย ตั้งแต่กระบวนการเบื้องต้นเช่นการจำกัดจำนวนครั้งที่การยืนยันตัวตนล้มเหลว, การใช้งานการยืนยันตัวตนหลายขั้นตอน แต่ความเปลี่ยนแปลงที่สำคัญคือการเตรียมยกเลิกการยืนยันตัวตนด้วย SMS

การยืนยันตัวตนด้วย SMS ยังคงยอมรับได้ในร่างเอกสาร แต่ประกาศสถานะเป็น deprecated และจะไม่รวมอยู่ในเอกสารนี้เวอร์ชั่นต่อไป

มาตรฐานการยืนยันตัวตนด้วย SMS ในเอกสารเวอร์ชั่นนี้กำหนดข้อความที่ส่งผ่าน SMS ต้องมี entropy อย่างน้อย 20 บิต (ประมาณเลขหกหลัก) และตรวจสอบว่าไม่ได้ส่งข้อมูลผ่านหมายเลข VoIP นอกจากนี้หากมีการแจ้งเปลี่ยนเลขหมาย จะต้องยืนยันตัวตนสองขั้นตอนก่อนจะยอมให้เปลี่ยนหมายเลข

การส่ง SMS เพื่อยืนยันตัวตนเป็นการยืนยันในกลุ่ม out-of-band (OOB) เอกสารเวอร์ชั่นนี้ยอมรับการยืนยันตัวตนในกลุ่มเดียวกันด้วยแอปพลิเคชั่น โดยผู้ให้บริการอาจจะส่ง push notification เพื่อถามผู้ใช้ให้ยืนยันตัวตน มาตรฐานระบุให้การยืนยันตัวตนด้วย push เช่นนี้ไม่ควรให้เวลาเกิน 5 นาที และข้อมูลลับที่ใช้ยืนยันตัวแอปควรมี entropy ไม่ต่ำกว่า 64 บิต ไม่เช่นนั้นต้องมีการจำกัดการโจมตีด้วยการเดาข้อความยืนยันตัวแอป

การใช้ SMS ยืนยันตัวตนเป็นที่นิยมอย่างสูงในช่วงหลังเพราะความสะดวกต่อผู้ใช้ที่ไม่ต้องจำรหัสผ่าน อย่างไรก็ตามการยืนยันตัวตนด้วย SMS น่ากังวลขึ้นเรื่อยๆ เพราะรายงานการโจมตีเครื่องข่าย SS7 ทำให้แฮกเกอร์สามารถดักฟังข้อความเหล่านี้ได้โดยง่าย

ที่มา - NIST, The Register

Get latest news from Blognone