透过简讯执行二次验证不再安全，美国国家标準技术研究所建议别再

周峻佑

在台湾，随着资安意识擡头，透过手机简讯执行进阶身分认证，在金融产业中，算是相当普遍的做法。然而，根据美国国家标準技术研究所（National Institute of Standards and Technology，NIST）在2016年的数位身分认证指南（Digital Authentication Guideline）中提到，他们建议企业不要再透过电信系统，包含简讯和电话语音的方式，执行二次验证，甚至计画即将把这种验证方式，排除在未来的进阶身分验证标準之外。Datablink亚太区行销副总裁Lawrence Ang认为，企业应考虑透过其他方式执行，若是同样要透过手机，以App的型式可以提供更加安全的验证流程。

Lawrence Ang在2017年资安大会的议程中指出，企业透过手机简讯提供进阶身分验证使用的一次性密码（OTP）固然方便，但从2010年首次发现骇客针对行动电话而来的中间人攻击（Man-In-The-Mobile，MitMo）之后，这种手法便层出不穷。

美国国家标準技术研究所（NIST）指出，透过手机简讯取得OTP认证码不够安全的因素有2个：一是行动装置的作业系统容易遭受木马程式的中间人攻击，进行控制；另一点则是在电信通讯基础上，传送简讯的安全性受到挑战。

最早出现的是Zeus-In-The-Mobile（ZitMo），这是可在Windows Mobile、Android、Symbian，以及BlackBerry平台中执行，并拦截简讯中OTP的行动装置恶意软体，感染途径则是藉由已感染Zeus恶意程式的电脑，诱使用户在行动装置上安装。

另一个同样是针对手机简讯而来，也相当有指标性的恶意软体是SpyEye（另一种说法是SpyEye-In-The-Mobile，因此也有人写成SPITMO），在2012年时，这个软体大肆感染超过140万台的电脑与行动装置。同一年，Eurograbber以同样的攻击手法，从3万个企业与个人的银行帐户中，总计窃取高达3千6百万欧元。

如今，针对Android手机的简讯拦截，2016年甚至在俄国和巴西等地，已有骇客直接销售木马攻击套件，代表性的恶意攻击程式是Android.Bankosy。

Lawrence Ang以Datablink近期推出的行动装置方案Mobile 110与简讯加以比较，说明以简讯OTP验证的缺点，包括SIM卡片内容容易遭到複製、能够做为认证的讯息只有文字，而且还不能太长，而手机App（Mobile 110）则可提供较多元且安全的机制，像是透过多项内容的比对的验证模式，或是推送（Push），使用者需在手机点选才能完成流程等方法。此外，从便利性的角度来看，相较于简讯必须透过安装SIM卡的手机，若是採用App执行身分认证，使用者只要在行动装置上安装就能使用，不一定要特定的装置才行。

他也引用Gartner的数据指出，虽然目前使用手机App的OTP比例还不高，但由于智慧型手机的普及，预估将成为2018年最主要的进阶身分认证方式之一。