Наверх
15 комментариев 26/07/2016

Эксперты считают метод двухэтапной аутентификации устаревшим

Эксперты считают метод двухэтапной аутентификации устаревшим

Национальный институт стандартов и технологий США (англ. The National Institute of Standards and Technology, NIST) в соответствии со своими уставными обязанностями и Законом о модернизации Федеральной информационной безопасности США опубликовал документ (Digital Authentication Guideline), согласно которому метод двухэтапной аутентификации считается более неактуальным.

Американский национальный институт стандартов и технологий участвует в разработке стандартов и спецификаций которые используются в государственном секторе, входит в департамент торговли США и является одной из старейших национальных лабораторий физических наук США.

Опубликованный документ регулирует будущие нормы и правила реализации цифровых методов аутентификации. Этими инструкциями руководствуются многие производители и разработчики специализированных продуктов (предназначенных для безопасности информации).

В одном из разделов документа (5.1.3.2) сказано, что использование SMS-сообщений для двухэтапной аутентификации является небезопасным.

Из-за риска, что SMS-сообщения могут быть перехвачены или перенаправлены, операторам новых систем следует тщательно рассмотреть альтернативные аутентификаторы. Если верификация осуществляется при помощи SMS-сообщения на общественной сети мобильной связи, верификатор должен проверить предварительно зарегистрированный номер телефона, который должен ассоциироватся с мобильной сетью, а не VoIP (или другое программное обеспечение) службами. Затем он отправляет SMS-сообщение на заранее зарегистрированный номер телефона. Изменение предварительно зарегистрированного телефонного номера не должно быть возможным без двухэтапной аутентификации во время изменения. Использование SMS с OOB (out-of-band) является устаревшим и больше не может быть разрешенным в будущих версиях данного руководства.

Опасение по отношению к методу двухэтапной аутентификации обоснованы тем, что телефонный номер может быть привязан к VoIP-сервису. К тому же злоумышленники могут использовать метод социальной инженерии, убедив поставщика услуг в том, что номер изменился. Несмотря на то, что авторы документа рекомендуют использовать в соответствующей продукции токены и криптографические идентификаторы, они также отмечают, что присутствие человеческого фактора (возможность украсть устройство) имеет удручающий характер.

В качестве рекомендованного варианта реализации, совместно с существующими методами аутентификации специалисты NIST советуют использовать биометрическую идентификацию:

По разным причинам, этот документ поддерживает только ограниченное использование биометрических данных для аутентификации. Соответственно, использование биометрии для аутентификации поддерживается только при соблюдении следующих рекомендаций: биометрия должна использоваться совместно с другими идентификационным методами (например, пароль).

Безопасность SMPP-протокола уже не первый раз ставится под сомнение. Недавний инцидент со взломом аккаунтов нескольких российских оппозиционеров в Telegram — тому пример. С увеличением количества подобных ситуаций и исследований данного вопроса, появляется все больше аргументов для изменения реализации и совершенствования метода двухэтапной аутентификации.

Источник: Softpedia

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

15 комментариев

по хронологии
по рейтингу сначала новые по хронологии
1

"Устаревший" и "небезопасный" - не одно и тоже.
На данный момент СМС верификация очень даже актуальна: легко внедряется, огромное количество пользователей подключено к операторам связи.
В то время, как биометрические датчики есть далеко не у всех, да и взломать их можно (TouchID насколько быстро обманули?).

2

Так тач айди это и не считается крутой защитой )

3

Ну то есть есть тач айди устаревший?

4

Расскажите об этом сотрудникам NIST)
Тут три возможных варианта: они правы, маркетинговый ход или специалисты вовсе не специалисты,соответственно не компетентны в данном вопросе. Хотя последний вариант я исключаю.

5

О чем именно мне им рассказать?
Специалисты не утверждали, что метод СМС верификации устаревший, они указали на то, что он небезопасный, в чем абсолютно правы.

6

И кстати, они называли его и устаревшим

7

И кстати, они называли его и устаревшим

Кого его? Перечитайте плиз.
OOB - это частный случай двухфакторной аутентификации, что мешает использовать SMS верификацию в рамках, например, многофакторной аутентификации? Там даже, чуть выше, есть рекомендации по отправке сообщений.

Эксперты считают метод двухэтапной аутентификации устаревшим

Ну и напоследок, о игре слов: двухфакторная аутентификация - не обязательно с использованием SMS. Посмотрите на реализацию у Battle.net, или тот же Steam Guard. Но это игра слов, я понимаю

Автор8

Двухфакторная — нет, а вот двухэтапная — да. При первом способе генерируется одноразовый пароль, непосредственно, на устройстве. Во втором, на сторонних серверах (SMS).

9

Двухфакторная — нет, а вот двухэтапная — да.

У меня нет слов. Вы сами себя то понимаете?
Вчитайтесь в слова: "двухфакторная" и "двухэтапная" и скажите мне на полном серьезе, что эти слова означают разные вещи!
Если прям вообще придраться к сути слов, то двухфакторная от двухэтапной может отличаться только тем, что двухфакторная должна быть двумя разными способами, а двухэтапная - не обязательно.

При первом способе генерируется одноразовый пароль, непосредственно, на самом устройстве. Во втором случае, на сторонних серверах (SMS).

Суть этого предложения мне не ясна. Но судя по всему вы утверждаете, что двухэтапная аутентификация должна быть обязательно с использованием SMS?
Идем на сайт гугла:
https://www.google.com/intl/ru/landing/2step/#tab=how-it-works
и смотрим где на втором этапе аутентификации можно использовать: SMS, голосовой вызов, приложение и токен... И это называется именно "двухэтапная аутентификация".

Автор10

Специально для вас загуглил и нашел статью:
http://www.outsidethebox.ms/18372/

11

Дальше, нашел специализированный ресурс, где OOB, про которое речь в статье, указывается имеено как 2FA: “Out-of-band authentication is a type of two-factor authentication”. http://searchsecurity.techtarget.com/definition/out-of-band-authentication
Очень, кстати интересный ресурс, советую изучить для того чтобы разобраться в теме. Там к слову есть и стаья по поводу разницы между 2SV и 2FA:
http://searchsecurity.techtarget.com/definition/two-step-verification
где есть и пояснение по поводу:

Например, Twitter в блоге нарекает свою двухэтапную аутентификацию двухфакторной, а Google в справке уравнивает эти способы (впрочем, компания предлагает оба).

Там написано следующее:
“Тем не менее, многие продукты и услуги двухэтапной аутентификации также являются примерами двухфакторной аутентификации. Google 2-Step Verification, например, включает в себя обычный пароль (что-то пользователь знает) и код посылается на устройство пользователя (что-то у пользователя есть). Большинство других текущих веб-систем аутентификации пользователей, считающиеся двухэтапной аутентификацией также квалифицируются двухфакторной аутентификации.”

12

Дичь статья.
Если включить логику. Чем SMS на телефон не другой фактор в отличии от пароля? SMS может получить только одна SIM, а это фактор владения. Да, ученные доказали что есть способы взламывать через SMS, в этом суть твоей статьи, но это не отменяет факт самого владения. Пароль тоже взламывают - это же не отменяет фактор знания?
Еще раз призываю к логике! Почему в статье указывается отправка токена на мобильное приложение как 2FA, а отправка SMS как 2SV? По факту - это одно и тоже, только выполняющееся двумя разными способами и с разными гарантиями безопасности.
Идем дальше, вики: https://en.wikipedia.org/wiki/Multi-factor_authentication
где отправка SMS считается именно "Mobile phone two-factor authentication". Почитай, там более подробно расписано.
Дальше, нашел специализированный ресурс, где OOB, про которое речь в статье, указывается имеено как 2FA: “Out-of-band authentication is a type of two-factor authentication”. http://searchsecurity.techtarget.com/definition/out-of-band-authentication
Очень, кстати интересный ресурс, советую изучить для того чтобы разобраться в теме.
Там к слову есть и стаья по поводу разницы между 2SV и 2FA:
http://searchsecurity.techtarget.com/definition/two-step-verification
где есть и пояснение по поводу:

Например, Twitter в блоге нарекает свою двухэтапную аутентификацию двухфакторной, а Google в справке уравнивает эти способы (впрочем, компания предлагает оба).

Там написано следующее:
“Тем не менее, многие продукты и услуги двухэтапной аутентификации также являются примерами двухфакторной аутентификации. Google 2-Step Verification, например, включает в себя обычный пароль (что-то пользователь знает) и код посылается на устройство пользователя (что-то у пользователя есть). Большинство других текущих веб-систем аутентификации пользователей, считающиеся двухэтапной аутентификацией также квалифицируются двухфакторной аутентификации.”

13

Дичь статья.
Если включить логику. Чем SMS на телефон не другой фактор в отличии от пароля? SMS может получить только одна SIM, а это фактор владения. Да, ученные доказали что есть способы взламывать через SMS, в этом суть твоей статьи, но это не отменяет факт самого владения. Пароль тоже взламывают - это же не отменяет фактор знания?
Еще раз призываю к логике! Почему в статье указывается отправка токена на мобильное приложение как 2FA, а отправка SMS как 2SV? По факту - это одно и тоже, только выполняющееся двумя разными способами и с разными гарантиями безопасности.
Идем дальше, вики: https://en.wikipedia.org/wiki/Multi-factor_authentication
где отправка SMS считается именно "Mobile phone two-factor authentication". Почитай, там более подробно расписано.
Дальше, нашел специализированный ресурс, где OOB, про которое речь в статье, указывается имеено как 2FA: “Out-of-band authentication is a type of two-factor authentication”. http://searchsecurity.techtarget.com/definition/out-of-band-authentication
Очень, кстати интересный ресурс, советую изучить для того чтобы разобраться в теме. Там к слову есть и стаья по поводу разницы между 2SV и 2FA:
http://searchsecurity.techtarget.com/definition/two-step-verification
где есть и пояснение по поводу:

Например, Twitter в блоге нарекает свою двухэтапную аутентификацию двухфакторной, а Google в справке уравнивает эти способы (впрочем, компания предлагает оба).

Там написано следующее:
“Тем не менее, многие продукты и услуги двухэтапной аутентификации также являются примерами двухфакторной аутентификации. Google 2-Step Verification, например, включает в себя обычный пароль (что-то пользователь знает) и код посылается на устройство пользователя (что-то у пользователя есть). Большинство других текущих веб-систем аутентификации пользователей, считающиеся двухэтапной аутентификацией также квалифицируются двухфакторной аутентификации.”

14

Это называется игра слов и при правильном использовании - допустимо. В этом случае контекст не теряет смысл. Ведь так можно придраться к чему угодно.

15

Сетчатку глаза и отпечатков пальцев не хватает для полной картины о гражданах.

Добавить комментарий

Такой e-mail уже зарегистрирован. Воспользуйтесь формой входа или введите другой.

Вы ввели некорректные логин или пароль

Извините, для комментирования необходимо войти.

Modal box

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: