0725歐盟立法PSD2指令,許多歐盟銀行放棄不安全的SMS OTP驗證.png

歐盟發佈支付服務指令第二版(Payment Services Directive version 2, PSD2),明令與歐盟消費者相關的金融單位必須提供嚴格的用戶認證機制(Strong Customer Authentication, SCA),透過嚴格認證方式減少相關犯罪數量。在PSD2發佈的文件中,將許多金融業者所使用的文字簡訊(SMS)一次性密碼(One-Time Passcodes, OTP)驗證,歸類為不安全之驗證方式,導致許多銀行業者紛紛宣布放棄使用SMS OTP驗證,以符合最新的PSD2 SCA規範。

 

在歐盟最新發布的PSD2指令中,除了要求相關金融業者提供Open API,令外部人員及組織可以此存取銀行內部資料外,同時也提出了嚴格的資安規範及相關要求。其要求相關銀行業者必須採用嚴格的SCA認證機制規範,其規範包括了強制要求金融業者的通訊傳輸加密、通過稽核的資安機制,甚至必須採取雙驗證授權,包括PIN碼、指紋、識別碼等。甚至提出了許多該規範認為不安全的認證方法,其中,文字簡訊的一次性密碼認證方法也被歸類於不安全驗證方法,導致許多銀行紛紛宣布放棄該驗證方式以符合PSD2 SCA規範。

SMS OTP驗證方式,是透過智慧型手機或相關裝置收取文字簡訊,只能使用一次的密碼驗證方式。由於該驗證方式密碼有效期僅限一次登入或交易,因此可有效避免駭客監聽並取得受害者密碼後重複登入偽冒其身份的重送攻擊(Replay Attack);同時,由於該認證方式並非透過使用者常用之密碼登入,因此即便被駭客取得其密碼,也不會導致使用者使用其餘系統的安全性威脅。
然而,此種看似安全且便利的驗證方式,卻在近年頻頻遭受駭客的SIM Swap詐騙攻擊,蒙受大量損失。此種攻擊手法主要是針對現今智慧型裝置以及網路銀行的普及,由於文字簡訊驗證會將其密碼傳送至使用者手機中,只要有心人士取得遺失或遭竊的智慧型裝置後,便可將其電話號碼移至另一張SIM卡中,並用此電話號碼接收認證密碼以登入並取得受害者所有金融資訊。
除此之外,網路安全相關組織也一直在警告OTP驗證的不安全性,但並非常見的SIM Swap詐騙攻擊,而是針對行動裝置網路使用的SS7協議存有嚴重弱點,可能導致駭客透過該漏洞劫持受害者的電話號碼、攔截其文字簡訊,從而進行相關非法驗證及登入。

為了符合PSD2 SCA規範以及減少使用者的資安威脅,德國率先宣布放棄了SMS OTP驗證方式的使用。根據Handelsblatt的報導,截至目前為止,德國郵政銀行(Postbank)宣佈預計於今(2019)年 8月取消OTP驗證;而Raiffeisen Bank以及Volksbank預計於秋季取消支援。德意志銀行(Deutsche Bank)和德國商業銀行(Commerzbank)雖同樣宣布取消對SMS OTP的支援,但並未公布確切取消時間;Consorsbank則是宣布於年底前取消支援SMS OTP。

為了減少SMS OTP驗證帶來的資安風險,現今德國銀行主要推出驗證應用程式(Authenticator Apps)以及硬體安全權杖(Hardware Security Tokens),取代基於文字簡訊的驗證,提供使用者更加安全的身份驗證方式。

 

  • 參考資料:
    • https://www.zdnet.com/article/german-banks-are-moving-away-from-sms-one-time-passcodes/

    twcert 發表在 痞客邦 留言(0) 人氣()