Национальный институт стандартов и технологий США (NIST) считает метод двухфакторной аутентификации на основе SMS устаревшим и рекомендуют компаниям воздержаться от его использования, следует из черновой редакции руководства по цифровой аутентификации (Digital Authentication Guideline).
Упомянутый документ — это набор рекомендаций, используемых разработчиками программного обеспечения при проектировании безопасных сервисов. На днях институт выпустил его черновую версию.
Специалисты аргументируют решение тем, что безопасность SMS вызывает опасения в связи с внедрением VoIP-сервисов. NIST рекомендует разработчикам проверять использование VoIP-соединения перед тем, как применить двухфакторную систему на основе SMS.
«Если внешняя проверка осуществляется посредством SMS-сообщения в общественной сети мобильной телефонной связи, проверяющему необходимо убедиться, что используемый предварительно зарегистрированный номер телефона действительно связан с мобильной сетью, а не с VoIP (или другим программным сервисом). Затем возможна отправка SMS-сообщения на зарегистрированный телефонный номер. Изменение предварительно зарегистрированного телефонного номера должно быть невозможным без двухфакторной аутентификации в ходе изменения. Использование SMS-сообщений при внешней проверке является устаревшим, и не будет разрешено в следующих версиях этого руководства», — сказано в документе.
В качестве альтернативы SMS рекомендуется использовать в своих приложениях токены и криптографические идентификаторы, а также биометрические системы (при этом биометрия должна использоваться совместно с другими методами идентификации), пишет Techcrunch.
Фото (с) Techcrunch
