Эксперты считают метод двухэтапной аутентификации устаревшим
Национальный институт стандартов и технологий США (англ. The National Institute of Standards and Technology, NIST) в соответствии со своими уставными обязанностями и Законом о модернизации Федеральной информационной безопасности США опубликовал документ (Digital Authentication Guideline), согласно которому метод двухэтапной аутентификации считается более неактуальным.
Американский национальный институт стандартов и технологий участвует в разработке стандартов и спецификаций которые используются в государственном секторе, входит в департамент торговли США и является одной из старейших национальных лабораторий физических наук США.
Опубликованный документ регулирует будущие нормы и правила реализации цифровых методов аутентификации. Этими инструкциями руководствуются многие производители и разработчики специализированных продуктов (предназначенных для безопасности информации).
В одном из разделов документа (5.1.3.2) сказано, что использование SMS-сообщений для двухэтапной аутентификации является небезопасным.
Из-за риска, что SMS-сообщения могут быть перехвачены или перенаправлены, операторам новых систем следует тщательно рассмотреть альтернативные аутентификаторы. Если верификация осуществляется при помощи SMS-сообщения на общественной сети мобильной связи, верификатор должен проверить предварительно зарегистрированный номер телефона, который должен ассоциироватся с мобильной сетью, а не VoIP (или другое программное обеспечение) службами.
Затем он отправляет SMS-сообщение на заранее зарегистрированный номер телефона. Изменение предварительно зарегистрированного телефонного номера не должно быть возможным без двухэтапной аутентификации во время изменения.
Использование SMS с OOB (out-of-band) является устаревшим и больше не может быть разрешенным в будущих версиях данного руководства.
Опасение по отношению к методу двухэтапной аутентификации обоснованы тем, что телефонный номер может быть привязан к VoIP-сервису. К тому же злоумышленники могут использовать метод социальной инженерии, убедив поставщика услуг в том, что номер изменился.
Несмотря на то, что авторы документа рекомендуют использовать в соответствующей продукции токены и криптографические идентификаторы, они также отмечают, что присутствие человеческого фактора (возможность украсть устройство) имеет удручающий характер.
В качестве рекомендованного варианта реализации, совместно с существующими методами аутентификации специалисты NIST советуют использовать биометрическую идентификацию:
По разным причинам, этот документ поддерживает только ограниченное использование биометрических данных для аутентификации. Соответственно, использование биометрии для аутентификации поддерживается только при соблюдении следующих рекомендаций: биометрия должна использоваться совместно с другими идентификационным методами (например, пароль).
Безопасность SMPP-протокола уже не первый раз ставится под сомнение. Недавний инцидент со взломом аккаунтов нескольких российских оппозиционеров в Telegram — тому пример.
С увеличением количества подобных ситуаций и исследований данного вопроса, появляется все больше аргументов для изменения реализации и совершенствования метода двухэтапной аутентификации.
Источник: Softpedia
Google Authenticator — как пользоваться 2AF