В Национальным институте стандартов и технологий США выпущен финальный предварительный вариант руководства по цифровой аутентификации (Digital Authentication Guideline). Помимо прочего, в тексте документа был обнаружен намек на запрет двухфакторной аутентификации при помощи SMS.
Институт настоятельно рекомендует компаниям прекратить использовать такой механизм аутентификации.
В документе сказано, что, если внеполосная проверка производится с помощью SMS-сообщения в публичной сети сотовой связи, то верификатору необходимо убедиться, что этот телефонный номер на самом деле связан с мобильной сетью, а не с VoIP. Уже после этого можно отправлять SMS-сообщение на номер, который был предварительно зарегистрирован на этом сервисе. Специалисты института утверждают, что нельзя допускать смену телефонного номера без двухфакторной аутентификации. Новые редакции документа предполагают запрещение применения SMS-сообщений при внеполосной проверке, так как этот механизм устарел.
Исходя из рекомендаций в документе, следует использовать токены или криптографические аутентификаторы, даже несмотря на то, что мобильное устройство может быть украдено. Эксперты признают такой риск «приемлемым». Кроме того, специалисты института лояльно относятся к биометрическим системам аутентификации, однако, по их мнению, они должны использоваться только вместе с другими способами.
Источник https://securenews.ru/
