Американский Национальный институт стандартов и технологий (NIST) призывает отказаться от SMS-сообщений как компонента систем двухфакторной аутентификации. В последней версии «Руководства по цифровой аутентификации» организация объявляет о том, что верификация при помощи SMS-сообщений будет исключена из рекомендаций института.
В дальнейшем по требованию NIST все сервисы, использующие SMS-аутентификацию, должны подтвердить, что отправляют текстовое сообщение на номер мобильного телефона, а не VoIP-сервиса.
Опасения NIST можно понять: уже известно о способах перехвата SMS-сообщений путем сложной атаки на SS7, возможной из-за «врожденного» дефекта в работе сотовых сетей, а также более простым и доступным всем способом — например, используя навыки социнженерии, доказав оператору, что абонент сменил номер.
«Таким образом, смена телефонного номера НЕ ДОЛЖНА быть возможна без применения двухфакторной авторизации во время смены номера», — говорится в документе.
О планах института насчет SMS было известно еще в мае, но теперь редакция руководства доступна для «общественной экспертизы». Организация опубликовала документ в репозитории на GitHub, ожидая комментариев «по существу, а не по вопросам грамматики и изложения»: https://github.com/usnistgov/800-63-3
В дальнейшем по требованию NIST все сервисы, использующие SMS-аутентификацию, должны подтвердить, что отправляют текстовое сообщение на номер мобильного телефона, а не VoIP-сервиса.
Опасения NIST можно понять: уже известно о способах перехвата SMS-сообщений путем сложной атаки на SS7, возможной из-за «врожденного» дефекта в работе сотовых сетей, а также более простым и доступным всем способом — например, используя навыки социнженерии, доказав оператору, что абонент сменил номер.
«Таким образом, смена телефонного номера НЕ ДОЛЖНА быть возможна без применения двухфакторной авторизации во время смены номера», — говорится в документе.
О планах института насчет SMS было известно еще в мае, но теперь редакция руководства доступна для «общественной экспертизы». Организация опубликовала документ в репозитории на GitHub, ожидая комментариев «по существу, а не по вопросам грамматики и изложения»: https://github.com/usnistgov/800-63-3