德国银行放弃 SMS OTP

双重/多重身份验证 (2FA/MFA) 是提高在线安全性的重要且通常简单的步骤。 通常,启用它所需要的只是您的手机,这是现在很多人都在身边的设备。 然而,并非所有的身份验证方法都是平等的,有多个故事围绕着使用 SMS 作为身份验证因素的不足之处,认为使用它不安全。 德国银行已经承认这一事实,现在正计划放弃 SMS 一次性密码 (OTP),以帮助提高用户的安全性。

新的立法标志远离 SMS OTP

由于欧盟于 2015 年通过的新立法将于 2019 年 9 月 14 日生效,德国银行现在正在取消 SMS OTP。

从 8 月开始,Postbank 将率先放弃对 SMS OTP 的支持。 Raiffeisen Bank 和 Volksbank 计划在秋季晚些时候这样做。 德意志银行和德国商业银行等一些大公司已经宣布计划放弃它,但尚未公布任何具体的截止日期。 ING 在放弃 SMS OTPS 时没有发表任何公开声明。

欧盟通过的修订立法,称为支付服务指令 (PSD),是一套忽略欧盟在线支付的总体规则。 这项新修订的立法,称为 PSD2,包括强客户身份验证 (SCA) 条款,使 2FA 等功能成为必备功能。 PSD2 中概述的新规则规定,任何金融交易都必须获得 SCA 的授权。

SIM交换的兴起

SMS OTP 不安全主要是由于一种称为 SIM 交换的攻击的增加。 SIM交换本质上是通过欺骗电话公司将电话号码转移到新的SIM卡上来实现的。 这使攻击者可以不受限制地访问使用 SMS OTP 的各种在线帐户。

这在一定程度上导致网络安全行业的大部分人反对使用 SMS OTP 作为身份验证因素。 SIM交换已成为一个大问题,使用起来根本不安全,尤其是当有更好的方法可用时。

SIM 交换也不是 SMS OTP 的唯一可能。 多年来一直是移动网络骨干的 SS7 协议中的漏洞存在无法修复的系统性安全问题。 这些漏洞可以让攻击者轻松劫持电话号码,从而使攻击者能够跟踪和授权付款或登录请求。

改用什么

来自网络安全行业的关于使用什么来代替 SMS OTP 的建议非常丰富。 并且许多不需要用户进行任何额外的购买。 使用身份验证器应用程序的最简单替代方法,其中有许多可用。 与 example 成为 Google 身份验证器。 但也有硬件选项,例如安全密钥,必须实际存在。 当然,如果服务允许,您可以将两者结合使用。

如果您被银行或其他服务强制使用 SMS OTP,请记住您有风险,并定期关注您的帐户活动。 这应该有助于您的帐户保持安全。 并确保让服务知道 SMS OTP 不安全,迫切需要更好的替代方案。