NIST宣布计划弃用基于短信的双因素身份验证，因为这种方法带来太多安全风险。这是否是正确的转变？其他组织是否应该向他们一样，采用非短信双因素身份验证作为最佳做法？

Mike Chapple：通过弃用基于短信的双因素身份验证（2FA），美国国家标准与技术研究所（NIST）确实正在对其数字身份验证准则进行非常适当的调整。NIST最近发布了NIST Special Publication 800-63B草案，让企业准备好迎接将没有这项技术的未来。

通常情况下，用户会通过输入用户名和密码在系统或服务完成初始身份验证，而将短信双因素身份验证用作额外的带外身份验证。用户的手机会收到包含代码的短信或者SMS，用户必须将代码输入系统来完成身份验证过程。这种手机通信使用与用户名及密码验证不同的带外信道。

然而，这种短信验证方法具有固有的缺陷。在这种方法中，代码作为锁定屏幕通知发送，无需解锁手机屏幕或者进一步输入安全码即可查看该验证代码。此外，如果用户发送代码到IP语音号码，攻击者可通过攻击用户的VoIP账户来窃听网络通信或甚至重新将短信路由到另一设备上。

NIST并没有说短信双重认证不适用，但他们表明，未来版本的NIST指南及标准可能不会允许使用短信双重验证。当前在使用短信双重验证的用户必须验证发送短信的电话号码，直接连接公共移动电话网络中的电话号码，而不是通过VoIP服务。

虽然NIST智能对美国政府机构和承包商强制执行其标准，但非短信双因素身份验证是全球企业都应该计划部署的较好的安全做法。