Документ Digital Authentication Guideline (DAG) включает набор правил, используемых разработчиками программного обеспечения при проектировании безопасных сервисов, а также правительственными организациями и частными компаниями для оценки безопасности своих сервисов. Развитием этого полезного руководства занимается Национальный институт стандартов и технологий (NIST). На днях они выпустили новую черновую спецификацию.
В последней редакции эксперты NIST рекомендуют компаниям воздержаться от использования аутентификации на основе SMS-сообщений. В следующих версиях DAG двухфакторная SMS-аутентификация даже может быть рассмотрена как небезопасная. Специалисты аргументируют своё решение тем, что безопасность SMS получила новые вызовы с внедрением VoIP-сервисов. Некоторые такие сервисы позволяют взломать SMS-систему. NIST рекомендует разработчикам проверять использование VoIP-соединения перед тем, как применить двухфакторную систему на основе SMS.
SMS-протокол считается небезопасным. На прошлой неделе специалисты Context Information Security предложили новую атаку, которая использует уязвимость SMS-протокола. С увеличением количества таких исследований отрасль имеет всё больше аргументов для отказа от SMS-аутентификации.
Источник: