Использование SMS-сообщений при внеполосной проверке является устаревшим.
Национальный институт стандартов и технологий США выпустил последнюю предварительную версию руководства по цифровой аутентификации (Digital Authentication Guideline), в котором есть намек на запрет двухфакторной аутентификации на основе SMS-сообщений. Представители института настоятельно рекомендуют компаниям отказаться от такого типа аутентификации, который в будущих версиях руководства, возможно, будет рассматриваться как «недопустимый» и «небезопасный».
«Если внеполосная проверка осуществляется посредством SMS-сообщения в публичной сети мобильной телефонной связи, верификатору необходимо убедиться, что используемый предварительно зарегистрированный номер телефона действительно связан с мобильной сетью, а не с VoIP (или другим программно-реализованным сервисом). Только затем возможна отправка SMS-сообщения на предварительно зарегистрированный телефонный номер. Изменение предварительно зарегистрированного телефонного номера не должно быть возможным без двухфакторной аутентификации в ходе изменения. Использование SMS-сообщений при внеполосной проверке является устаревшим, и не будет разрешено в следующих версиях руководства», - заявлено в документе.
В руководстве рекомендуется использовать производителям токены или криптографические аутентификаторы, даже несмотря на то, что мобильное устройство может быть украдено. Такой риск признается экспертами как «приемлемый». Специалисты института также лояльно относятся к биометрическим системам аутентификации, но только при одном условии: «биометрия должна быть использована только вместе с другим аутентификационным фактором».
Собираем и анализируем опыт профессионалов ИБ