ธนาคารในเยอรมนี เตรียมเลิกใช้ OTP ผ่าน SMS เพราะไม่ปลอดภัยเพียงพอ

หัวข้อกระทู้ ใน 'เทคโนโลยี' เริ่มโพสต์โดย iPokz, 13 กรกฎาคม 2019.

  1. iPokz

    iPokz ~" iPokz "~ Staff Member

    ธนาคารของเยอรมนีหลายราย ประกาศแผนการเลิกใช้ระบบยืนยันตัวตนแบบ OTP ผ่าน SMS เนื่องจากเป็นวิธีการยืนยันตัวตนที่ "ไม่ปลอดภัย" ซะแล้ว

    การขยับตัวของธนาคารในเยอรมนี เป็นผลมาจากกฎหมาย Payment Services Directive (PSD) ของสหภาพยุโรปที่ออกในปี 2015 และมีผลบังคับใช้ในวันที่ 14 กันยายนปีนี้ ซึ่งกฎหมายระบุว่าธนาคารต้องใช้วิธีการยืนยันตัวตนที่ผ่านมาตรฐาน strong customer authentication (SCA) ที่แข็งแกร่งเพียงพอ

    ตัวอย่างวิธีการยืนยันตัวตนที่ผ่านมาตรฐาน SCA คือ การใช้รหัสผ่าน, PIN, passphrase, การตอบคำถามที่อิงกับความรู้, การลากนิ้วเป็นเส้น

    ส่วนวิธีการยืนยันตัวตนที่ไม่ผ่านมาตรฐานคือ การใช้ user name, email address, ข้อมูลบนบัตรเครดิต/เดบิต และการใช้รหัส OTP ที่ส่งผ่าน SMS

    [​IMG]
    ภาพจาก Android Messages

    เหตุผลที่การใช้รหัส OTP ผ่าน SMS ไม่ปลอดภัย เป็นเพราะที่ผ่านมา มีการขโมย SMS ผ่านเทคนิคต่างๆ เช่น SIM Swapping หรือวิธีพื้นฐานอย่าง social enginerring โดยมาตรฐานการยืนยันตัวตนของ NIST ฝั่งอเมริกาก็จัดการยืนยันตัวตนผ่าน SMS อยู่ในกลุ่ม restricted ที่จำกัดการใช้งานเช่นกัน

    ธนาคารที่ประกาศเรื่องนี้แล้วคือ Postbank, Raiffeisen Bank, Volksbank, Deutsche Bank, Commerzbank, Consorsbank โดยส่วนใหญ่จะย้ายไปใช้ระบบ token generator ที่ทำงานได้แบบออฟไลน์แทน

    ที่มา - ZDNet

    Topics: GermanyBankingAuthenticationSMSSecurity
     

แบ่งปันหน้านี้