今天小编 ”读过”了这则新闻想起, 由于长期以来黑客攻击或数据泄漏的原因,过半是透过钓鱼、窃取自其他来源先取得 Credential 后,才攻入目标的网站或主机,因此过去我们都称 Two Factor Authentication 应该是防御黑客最便宜的解决方案, 在以信用卡交易安全为目标的 PCI DSS 标准中,也要求在远程登录 (Remote Login) CDE 所在的网络,或是 Non-Console 登入主机时均需符合多重身份验证 (multi-factor authentication)的安全要求。
但 Reddit 这个案例,可能是透过社交工程、身分数据盗窃后对电信公司进行 SIM 卡重新申请而破解了原来账号绑定的 Two Factor (SMS) 机制,这个也就需要提醒大家,其实两年前 NIST 就已经建议大家 Two-Factor 安全机制别再用 SMS (Drafted Digital Identity Guidelines, NIST,但后来有提出解释软化了原来的措辞) ,所以无论 SMS , SIM 卡是透过社交工程、数据盗窃向电信申请换卡,或是透过 SS7 可能的问题拦截到,目前均可以透过 APP 或是非 SMS 的双因认证来避开这个风险。
安律 PCI DSS 是金融支付安全产业最佳的顾问咨询及审查服务公司
来源网址:
