Москва
21 ноября ‘24
Четверг

Двухфакторную SMS-аутентификацию признали небезопасной

Национальный институт стандартов и технологий США (NIST) выпустил предварительную версию руководства по цифровой аутентификации (Digital Authentication Guideline, DAG), в которой есть пункт о запрете двухфакторной аутентификации при помощи SMS-сообщений. Данный тип авторизации признан небезопасным, и компаниям рекомендовано отказаться от него в кратчайшие сроки.

В дальнейших версиях DAG, по данным портала PC World, SMS-аутентификация может быть признана официально недопустимой, что связано с небезопасностью самого SMS-протокола. Технология, которая в последнее время используется в основном для авторизации, так как все пользователи уже перешли на мессенджеры, содержит в себе крупную уязвимость, найденную на прошлой неделе специалистами компании Context Information Security и позволяющую легко взломать протокол и перехватывать сообщения с кодами аутентификации. Это грозит, в частности, кражей денежных средств со счетов пользователей, так как банки, в большинстве своем, используют именно SMS-аутентификацию.

NIST рекомендует всем компаниям и организациям, кто пока не готов отказаться от использования SMS-протокола, внедрить предварительную проверку номера телефона, на который должно быть отправлено сообщение с кодом. Он должен быть связан напрямую с сотовой сетью, а не с сервисом VoIP или подобными ему программными средствами. Также рекомендуется установка запрета на смену привязанного к счету или профилю номера телефона без дополнительной двухфакторной аутентификации.

В качестве замены SMS-авторизации предлагается использовать более современные методы, включая криптографические аутентификаторы и биометрические системы. Под последними понимаются сканеры отпечатков пальцев, встроенные во многие современные смартфоны, а также сканеры радужной оболочки глаза, появление которых в гаджетах ожидается уже в этом году.

Полная версия