آژانس فناوری فدرال که فراهمکنندهی مواد مرجع استانداردها برای بخشهای دولتی و صنایع خصوصی است، روز چهارشنبه پیشنویس خود را در این ارتباط با عنوان دستورالعمل ویژهی احراز هویت دیجیتال 800-63B منتشر کرد. این سند ۱۷۰۰۰ کلمهای در نهایت نتیجه میگیرد که به دلیل این احتمال که کد ارسالی یکبار مصرف ممکن است شنود شده و یا تغییر مسیر داده شود، احراز هویت دوعامله بر اساس پیامک دیگر نباید مورد استفاده قرار گیرد.
در این دستورالعمل NIST آمده است:«احراز هویت دیجیتال فرایند ایجاد اعتماد در کاربری است که بهصورت الکترونیکی در یک سامانهی اطلاعاتی شناسایی میشود»؛ اما آنچه مهم است توانایی احراز هویت است: «اگر احراز هویت جداگانه با کمک و استفاده از یک پیام کوتاه روی شبکه تلفن همراه عمومی صورت گیرد؛ تأییدکننده باید بررسی کند که شماره تلفنی که از قبل در سامانه ثبت شده است در حقیقت با یک شبکه تلفن همراه در ارتباط باشد و نه با خدمات VoIP (و یا هر نوع نرمافزار مربوط به آن). در این حالت است که میتواند پیام کوتاه را به شماره تلفن از قبل ثبت شده ارسال کند. همچنین تغییر شماره تلفن از قبل ثبت شده نیز نباید بهوسیلهی احراز هویت پیام کوتاه ممکن باشد. استفاده از پیامک برای احراز هویت دومرحلهای منسوخ شده است و ممکن است در نسخهی آتی این دستورالعمل استفاده از آن مجاز نباشد».
این کار در پی آن صورت گرفته است که چندین حملهی بدافزاری صورت گرفته که بر کدهای پیامهای کوتاه تأثیر گذاشته است و همچنین حملات مخربی نیز از با سرقت اتصالات VoIP علیه پیامهای کوتاه انجام شده است.
درحالیکه این دستورالعمل در مورد ارائهدهندگان خدمات دولتی قابل اجراست اما توصیههای آن مطمئناً به بخشهای تجاری گستردهتری توسعه خواهد یافت.
برای مثال بانکها نیز مطمئناً تحت تأثیر آن خواهند بود. میکی بودایی مدیرعامل شرکت Transmit Security گفته است: «دستورالعمل احراز هویت دیجیتال NIST نشان میدهد که بازار احراز هویت تا چه اندازه پیچیده شده است. درحالیکه که شگردهای احراز هویت جدید و جالبتوجه همچون اثر انگشت، تشخیص چهره و عنبیه و صدا توسط بسیاری از بانکها پذیرفته شدهاند، خطرات امنیتی آنها نیز باید با دقت مدیریت شود».
او اضافه میکند که دستورالعمل NIST نیاز به احراز هویت بیومتریک با رمزنگاری قوی، استفاده از احراز هویتهای اضافه و مدیریت چرخهی مصرف احراز هویت کننده را بیشتر از پیش آشکار میکند که شامل پشتیبانی از فرایندهای متعددی نظیر اتصال، مدیریت نرخ تطابق اشتباه، فسخ، انقضاء و غیره میباشند.
او میگوید که همچنان که بازار رشد میکند، احراز هویتهای جدید نیز ایجاد میشوند و نیازهای امنیتی جدید حول این قابلیتها پدیدار میشوند «مدیریت حرفهای سیاستگذاریها و توانایی کنار هم گذاشتن چندین فرایند و عملکرد مختلف اغلب بهوسیلهی بانکهایی که احراز هویتهای بیومتریک را پذیرفتهاند نادیده انگاشته میشود. این کار موجب تغییرات سریع و پیچیدهای در نرمافزارهای آنها شده و خطراتی غیرضروری را پدید میآورد».