آزمایشگاه استاندارد آمریکا می‌گوید که احراز هویت پیامکی روش مناسبی نیست!

مؤسسه ملی استاندارد و فناوری آمریکا می‌گوید که توکن‌ها و نرم‌افزارها باید جایگزینTXT شوند. مؤسسه ملی استاندارد و فناوری آمریکا (NIST) توصیه کرده است که افراد احراز هویت دو عامله به‌وسیله‌ی پیامک را کنار گذارند.

این مطلب خلاصه‌ی پیش‌نویس دستورالعمل احراز هویت دو عامله آن‌هاست که منتشر شده است. در بخش ۵.۱.۳.۲ از این متن نوشته شده است که تأیید هویت خارج از روال با استفاده از پیامک منسوخ شده است و در نسخه‌های آینده‌ی دستورالعمل NIST ظاهر نخواهد شد.

این تغییر اولین بار در ماه می رخ داد و در حال حاضر این آژانس اولین اظهارنظر عمومی خود را در مورد این سند منتشر می‌کند. مؤسسه NIST می‌گوید فعلاً شرکت‌ها و خدماتی که از احراز هویت با پیامک برای احراز هویت و تأیید آن استفاده می‌کنند باید این پیامک‌ها را به یک شماره تلفن همراه ارسال کنند و نه به یک خدمات VoIP.

همچنین این مؤسسه گفته است که کاربران باید در برابر سرقت پیامک‌ها به شکل بهتری محافظت شوند چرا که مثلاً یک مهاجم می‌تواند ارائه‌کننده‌ی خدمات را قانع کند که شماره‌ی او تغییر پیدا کرده است در بیانیه‌ی NIST آمده است: «تغییر شماره تلفن ثبت‌شده نباید بدون انجام احراز هویت دومرحله‌ای برای انجام این تغییر ممکن باشد».

دستورالعملی که رسماً به نام «پیش‌نویس انتشار ویژه‌ی NIST ۸۰۰-۶۳» منتشر شده است یک «پیش‌نمایش عمومی» است. NIST گفته است که این مؤسسه از این اصطلاح به جای فرآیند ارسال معمول استفاده کرده است چرا که به این شکل می‌تواند این اسناد را در GitHub قرار دهد و پاسخ‌های اولیه را به آن دریافت کند.

NIST نوشته است: «ما اسم آن را یک پیش‌نمایش عمومی گذاشته‌ایم، چرا که برخی از همکاران آژانس ما (و خود NIST) دارای روال‌های رسمی برای انتشار پیش‌نویس‌ها هستند. نامیدن آن به‌ عنوان یک «پیش‌نمایش عمومی» روشی است که ما برگزیده‌ایم تا همه اطلاع داشته باشند که این روال‌ها در حال اجرا نیستند. این کار موجب می‌شود تا ما کارها را به شکلی متفاوت انجام دهیم».

این آژانس خاطرنشان می‌کند که GitHub نمی‌خواهد اظهارات عمومی را جایگزین کند اما به‌جای آن «به فرایندهای شفاف و باز موجود مطالبی را اضافه خواهد کرد … ما سنت توسعه‌ی نظرخواهی عمومی خود را بعد از به پایان رسیدن این مدت حفظ خواهیم کرد».

در طی فرایند نظرخواهی GitHub، NIST می‌خواهد تا بیشتر بر ورودی‌های فنی و روالی کار تمرکز کند تا بحث‌های «دستور زبانی و قالب‌بندی».

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap