دولت فدرال و حذف احراز هویت بر پایه‌ی پیام کوتاه

12 مرداد 1395
نویسنده :  

ارائه‌دهندگان خدمات دولتی در نتیجه‌ی دستورالعملی جدیدی که مؤسسه‌ی ملی استاندارد و فناوری آمریکا (NIST) منتشر کرده است باید استفاده از احراز هویت دو عامله (2FA) مبتنی بر پیام کوتاه را کنار گذارند.

آژانس فناوری فدرال که فراهم‌کننده‌ی مواد مرجع استانداردها برای بخش‌های دولتی و صنایع خصوصی است، روز چهارشنبه پیش‌نویس خود را در این ارتباط با عنوان دستورالعمل ویژه‌ی احراز هویت دیجیتال 800-63B منتشر کرد. این سند ۱۷۰۰۰ کلمه‌‌ای در نهایت نتیجه می‌گیرد که به دلیل این احتمال که کد ارسالی یک‌بار مصرف ممکن است شنود شده و یا تغییر مسیر داده شود، احراز هویت دوعامله بر اساس پیامک دیگر نباید مورد استفاده قرار گیرد.
در این دستورالعمل NIST آمده است:‌«احراز هویت دیجیتال فرایند ایجاد اعتماد در کاربری است که به‌صورت الکترونیکی در یک سامانه‌ی اطلاعاتی شناسایی می‌شود»؛ اما آنچه مهم است توانایی احراز هویت است: «اگر احراز هویت جداگانه با کمک و استفاده از یک پیام کوتاه روی شبکه تلفن همراه عمومی صورت گیرد؛ تأییدکننده باید بررسی کند که شماره تلفنی که از قبل در سامانه ثبت شده است در حقیقت با یک شبکه تلفن همراه در ارتباط باشد و نه با خدمات VoIP (و یا هر نوع نرم‌افزار مربوط به آن). در این حالت است که