Двухфакторная аутентификация на основе SMS-сообщений может быть запрещена
26.07.2016
Национальный институт стандартов и технологий США выпустил последнюю предварительную версию руководства по цифровой аутентификации (Digital Authentication Guideline), в котором есть намек на запрет двухфакторной аутентификации на основе SMS-сообщений. Представители института настоятельно рекомендуют компаниям отказаться от такого типа аутентификации, который в будущих версиях руководства, возможно, будет рассматриваться как "недопустимый" и "небезопасный".
"Если внеполосная проверка осуществляется посредством SMS-сообщения в публичной сети мобильной телефонной связи, верификатору необходимо убедиться, что используемый предварительно зарегистрированный номер телефона действительно связан с мобильной сетью, а не с VoIP (или другим программно-реализованным сервисом). Только затем возможна отправка SMS-сообщения на предварительно зарегистрированный телефонный номер. Изменение предварительно зарегистрированного телефонного номера не должно быть возможным без двухфакторной аутентификации в ходе изменения. Использование SMS-сообщений при внеполосной проверке является устаревшим, и не будет разрешено в следующих версиях руководства", - заявлено в документе.
В руководстве рекомендуется использовать производителям токены или криптографические аутентификаторы, даже несмотря на то, что мобильное устройство может быть украдено. Такой риск признается экспертами как "приемлемый". Специалисты института также лояльно относятся к биометрическим системам аутентификации, но только при одном условии: "биометрия должна быть использована только вместе с другим аутентификационным фактором".
