獲得許多金融機構與網路服務供應商採用,以行動電話簡訊進行的雙因子認證機制,可能不如想像中安全,美國商務部轄下的國家標準技術研究所建議,不要再採用該機制進行雙因子認證。
根據美國國家標準技術研究所(NIST)最新發布的數位認證指導原則草案,在未來發表的指導原則中將排除額外的簡訊認證。在現有的指導原則下,NIST僅建議採用簡訊做為雙因子認證的機構要確認接收簡訊的號碼為真實的行動電話號碼,而非VoIP號碼。
以行動電話簡訊作為雙因子認證機制的安全漏洞,主要發生在接收認證碼簡訊的手機號碼,有被綁架或竄改的可能。今年6月時,便有知名美國黑人民權運動人士DeRay Mckesson在Twitter上表示,有人偽冒他的身分致電電信公司Verizon要求更換SIM卡後,並在各大網路服務上更換其登記的行動電話號碼,進而跳過他在各網路服務採用的簡訊雙因子認證。
NIST也因此建議,服務供應商應該採取更好的保護機制來保護用戶簡訊可能遭攔截綁架的狀況。舉例來說,任何要更換接收雙因子認證簡訊的電話號碼要求,都必須經過原號碼的雙因子認證通過後才可進行。
目前該草案已經在網路上公布供外界檢視並蒐集意見。