دولت فدرال و حذف احراز هویت بر پایه‌ی پیام کوتاه

ارائه‌دهندگان خدمات دولتی در نتیجه‌ی دستورالعملی جدیدی که مؤسسه‌ی ملی استاندارد و فناوری آمریکا (NIST) منتشر کرده است باید استفاده از احراز هویت دو عامله (۲FA) مبتنی بر پیام کوتاه را کنار گذارند.
آژانس فناوری فدرال که فراهم‌کننده‌ی مواد مرجع استانداردها برای بخش‌های دولتی و صنایع خصوصی است، روز چهارشنبه پیش‌نویس خود را در این ارتباط با عنوان دستورالعمل ویژه‌ی احراز هویت دیجیتال ۸۰۰-۶۳B منتشر کرد. این سند ۱۷۰۰۰ کلمه‌‌ای در نهایت نتیجه می‌گیرد که به دلیل این احتمال که کد ارسالی یک‌بار مصرف ممکن است شنود شده و یا تغییر مسیر داده شود، احراز هویت دوعامله بر اساس پیامک دیگر نباید مورد استفاده قرار گیرد.
در این دستورالعمل NIST آمده است:‌«احراز هویت دیجیتال فرایند ایجاد اعتماد در کاربری است که به‌صورت الکترونیکی در یک سامانه‌ی اطلاعاتی شناسایی می‌شود»؛ اما آنچه مهم است توانایی احراز هویت است: «اگر احراز هویت جداگانه با کمک و استفاده از یک پیام کوتاه روی شبکه تلفن همراه عمومی صورت گیرد؛ تأییدکننده باید بررسی کند که شماره تلفنی که از قبل در سامانه ثبت شده است در حقیقت با یک شبکه تلفن همراه در ارتباط باشد و نه با خدمات VoIP (و یا هر نوع نرم‌افزار مربوط به آن). در این حالت است که می‌تواند پیام کوتاه را به شماره تلفن از قبل ثبت شده ارسال کند. همچنین تغییر شماره تلفن از قبل ثبت شده نیز نباید به‌وسیله‌ی احراز هویت پیام کوتاه ممکن باشد. استفاده از پیامک برای احراز هویت دومرحله‌ای منسوخ شده است و ممکن است در نسخه‌ی آتی این دستورالعمل استفاده از آن مجاز نباشد».
این کار در پی آن صورت گرفته است که چندین حمله‌ی بدافزاری صورت گرفته که بر کدهای پیام‌های کوتاه تأثیر گذاشته است و همچنین حملات مخربی نیز از با سرقت اتصالات VoIP علیه پیام‌های کوتاه انجام شده است.
درحالی‌که این دستورالعمل در مورد ارائه‌دهندگان خدمات دولتی قابل اجراست اما توصیه‌های آن مطمئناً به بخش‌های تجاری گسترده‌تری توسعه خواهد یافت.
برای مثال بانک‌ها نیز مطمئناً تحت تأثیر آن خواهند بود. میکی بودایی مدیرعامل شرکت Transmit Security گفته است: «دستورالعمل احراز هویت دیجیتال NIST نشان می‌دهد که بازار احراز هویت تا چه اندازه پیچیده شده است. درحالی‌که که شگردهای احراز هویت جدید و جالب‌توجه همچون اثر انگشت، تشخیص چهره و عنبیه و صدا توسط بسیاری از بانک‌ها پذیرفته شده‌اند، خطرات امنیتی آن‌ها نیز باید با دقت مدیریت شود».
او اضافه می‌کند که دستورالعمل NIST نیاز به احراز هویت بیومتریک با رمزنگاری قوی، استفاده از احراز هویت‌های اضافه و مدیریت چرخه‌ی مصرف احراز هویت کننده را بیشتر از پیش آشکار می‌کند که شامل پشتیبانی از فرایندهای متعددی نظیر اتصال، مدیریت نرخ تطابق اشتباه، فسخ، انقضاء و غیره می‌باشند.
او می‌گوید که همچنان که بازار رشد می‌کند، احراز هویت‌های جدید نیز ایجاد می‌شوند و نیازهای امنیتی جدید حول این قابلیت‌ها پدیدار می‌شوند «مدیریت حرفه‌ای سیاست‌گذاری‌ها و توانایی کنار هم گذاشتن چندین فرایند و عملکرد مختلف اغلب به‌وسیله‌ی بانک‌هایی که احراز هویت‌های بیومتریک را پذیرفته‌اند نادیده انگاشته می‌شود. این کار موجب تغییرات سریع و پیچیده‌ای در نرم‌افزارهای آن‌ها شده و خطراتی غیرضروری را پدید می‌آورد».

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

[easy-pricing-table id="6835"]