Эксперты считают метод двухэтапной аутентификации устаревшим

Национальный институт стандартов и технологий США (англ. The National Institute of Standards and Technology, NIST) в соответствии со своими уставными обязанностями и Законом о модернизации Федеральной информационной безопасности США опубликовал документ (Digital Authentication Guideline), согласно которому метод двухэтапной аутентификации считается более неактуальным.

Американский национальный институт стандартов и технологий участвует в разработке стандартов и спецификаций которые используются в государственном секторе, входит в департамент торговли США и является одной из старейших национальных лабораторий физических наук США.

Опубликованный документ регулирует будущие нормы и правила реализации цифровых методов аутентификации. Этими инструкциями руководствуются многие производители и разработчики специализированных продуктов (предназначенных для безопасности информации).

В одном из разделов документа (5.1.3.2) сказано, что использование SMS-сообщений для двухэтапной аутентификации является небезопасным.

Из-за риска, что SMS-сообщения могут быть перехвачены или перенаправлены, операторам новых систем следует тщательно рассмотреть альтернативные аутентификаторы. Если верификация осуществляется при помощи SMS-сообщения на общественной сети мобильной связи, верификатор должен проверить предварительно зарегистрированный номер телефона, который должен ассоциироватся с мобильной сетью, а не VoIP (или другое программное обеспечение) службами. Затем он отправляет SMS-сообщение на заранее зарегистрированный номер телефона. Изменение предварительно зарегистрированного телефонного номера не должно быть возможным без двухэтапной аутентификации во время изменения. Использование SMS с OOB (out-of-band) является устаревшим и больше не может быть разрешенным в будущих версиях данного руководства.

Опасение по отношению к методу двухэтапной аутентификации обоснованы тем, что телефонный номер может быть привязан к VoIP-сервису. К тому же злоумышленники могут использовать метод социальной инженерии, убедив поставщика услуг в том, что номер изменился. Несмотря на то, что авторы документа рекомендуют использовать в соответствующей продукции токены и криптографические идентификаторы, они также отмечают, что присутствие человеческого фактора (возможность украсть устройство) имеет удручающий характер.

В качестве рекомендованного варианта реализации, совместно с существующими методами аутентификации специалисты NIST советуют использовать биометрическую идентификацию:

По разным причинам, этот документ поддерживает только ограниченное использование биометрических данных для аутентификации. Соответственно, использование биометрии для аутентификации поддерживается только при соблюдении следующих рекомендаций: биометрия должна использоваться совместно с другими идентификационным методами (например, пароль).

Безопасность SMPP-протокола уже не первый раз ставится под сомнение. Недавний инцидент со взломом аккаунтов нескольких российских оппозиционеров в Telegram — тому пример. С увеличением количества подобных ситуаций и исследований данного вопроса, появляется все больше аргументов для изменения реализации и совершенствования метода двухэтапной аутентификации.

Источник: Softpedia

Please wait...
Теги: , , , , , , ,
0
15 Комментарий
Сначала Новые
Сначала Старые Популярные
guest

Межтекстовые Отзывы
Посмотреть все комментарии
hamsta
hamsta
8 лет назад

Сетчатку глаза и отпечатков пальцев не хватает для полной картины о гражданах.

Please wait...
Alexander Stepanov
Alexander Stepanov
8 лет назад

“Устаревший” и “небезопасный” – не одно и тоже.
На данный момент СМС верификация очень даже актуальна: легко внедряется, огромное количество пользователей подключено к операторам связи.
В то время, как биометрические датчики есть далеко не у всех, да и взломать их можно (TouchID насколько быстро обманули?).

Please wait...
Ден
Ден
8 лет назад

Расскажите об этом сотрудникам NIST)
Тут три возможных варианта: они правы, маркетинговый ход или специалисты вовсе не специалисты,соответственно не компетентны в данном вопросе. Хотя последний вариант я исключаю.

Please wait...
Alexander Stepanov
Alexander Stepanov
8 лет назад
Ответ  Ден

О чем именно мне им рассказать?
Специалисты не утверждали, что метод СМС верификации устаревший, они указали на то, что он небезопасный, в чем абсолютно правы.

Please wait...
Ден
Ден
8 лет назад

Это называется игра слов и при правильном использовании – допустимо. В этом случае контекст не теряет смысл. Ведь так можно придраться к чему угодно.

Please wait...
Ден
Ден
8 лет назад

И кстати, они называли его и устаревшим

Please wait...
Alexander Stepanov
Alexander Stepanov
8 лет назад
Ответ  Ден

И кстати, они называли его и устаревшим

Кого его? Перечитайте плиз.
OOB – это частный случай двухфакторной аутентификации, что мешает использовать SMS верификацию в рамках, например, многофакторной аутентификации? Там даже, чуть выше, есть рекомендации по отправке сообщений.

Эксперты считают метод двухэтапной аутентификации устаревшим

Ну и напоследок, о игре слов: двухфакторная аутентификация – не обязательно с использованием SMS. Посмотрите на реализацию у Battle.net, или тот же Steam Guard. Но это игра слов, я понимаю

Please wait...
Alexander Stepanov
Alexander Stepanov
8 лет назад

Двухфакторная — нет, а вот двухэтапная — да.

У меня нет слов. Вы сами себя то понимаете?
Вчитайтесь в слова: “двухфакторная” и “двухэтапная” и скажите мне на полном серьезе, что эти слова означают разные вещи!
Если прям вообще придраться к сути слов, то двухфакторная от двухэтапной может отличаться только тем, что двухфакторная должна быть двумя разными способами, а двухэтапная – не обязательно.

При первом способе генерируется одноразовый пароль, непосредственно, на самом устройстве. Во втором случае, на сторонних серверах (SMS).

Суть этого предложения мне не ясна. Но судя по всему вы утверждаете, что двухэтапная аутентификация должна быть обязательно с использованием SMS?
Идем на сайт гугла:
https://www.google.com/intl/ru/landing/2step/#tab=how-it-works
и смотрим где на втором этапе аутентификации можно использовать: SMS, голосовой вызов, приложение и токен… И это называется именно “двухэтапная аутентификация”.

Please wait...
Alexander Stepanov
Alexander Stepanov
8 лет назад

Дичь статья.
Если включить логику. Чем SMS на телефон не другой фактор в отличии от пароля? SMS может получить только одна SIM, а это фактор владения. Да, ученные доказали что есть способы взламывать через SMS, в этом суть твоей статьи, но это не отменяет факт самого владения. Пароль тоже взламывают – это же не отменяет фактор знания?
Еще раз призываю к логике! Почему в статье указывается отправка токена на мобильное приложение как 2FA, а отправка SMS как 2SV? По факту – это одно и тоже, только выполняющееся двумя разными способами и с разными гарантиями безопасности.
Идем дальше, вики: https://en.wikipedia.org/wiki/Multi-factor_authentication
где отправка SMS считается именно “Mobile phone two-factor authentication”. Почитай, там более подробно расписано.
Дальше, нашел специализированный ресурс, где OOB, про которое речь в статье, указывается имеено как 2FA: “Out-of-band authentication is a type of two-factor authentication”. http://searchsecurity.techtarget.com/definition/out-of-band-authentication
Очень, кстати интересный ресурс, советую изучить для того чтобы разобраться в теме. Там к слову есть и стаья по поводу разницы между 2SV и 2FA:
http://searchsecurity.techtarget.com/definition/two-step-verification
где есть и пояснение по поводу:

Например, Twitter в блоге нарекает свою двухэтапную аутентификацию двухфакторной, а Google в справке уравнивает эти способы (впрочем, компания предлагает оба).

Там написано следующее:
“Тем не менее, многие продукты и услуги двухэтапной аутентификации также являются примерами двухфакторной аутентификации. Google 2-Step Verification, например, включает в себя обычный пароль (что-то пользователь знает) и код посылается на устройство пользователя (что-то у пользователя есть). Большинство других текущих веб-систем аутентификации пользователей, считающиеся двухэтапной аутентификацией также квалифицируются двухфакторной аутентификации.”

Please wait...
Alexander Stepanov
Alexander Stepanov
8 лет назад

Дичь статья.
Если включить логику. Чем SMS на телефон не другой фактор в отличии от пароля? SMS может получить только одна SIM, а это фактор владения. Да, ученные доказали что есть способы взламывать через SMS, в этом суть твоей статьи, но это не отменяет факт самого владения. Пароль тоже взламывают – это же не отменяет фактор знания?
Еще раз призываю к логике! Почему в статье указывается отправка токена на мобильное приложение как 2FA, а отправка SMS как 2SV? По факту – это одно и тоже, только выполняющееся двумя разными способами и с разными гарантиями безопасности.
Идем дальше, вики: https://en.wikipedia.org/wiki/Multi-factor_authentication
где отправка SMS считается именно “Mobile phone two-factor authentication”. Почитай, там более подробно расписано.
Дальше, нашел специализированный ресурс, где OOB, про которое речь в статье, указывается имеено как 2FA: “Out-of-band authentication is a type of two-factor authentication”. http://searchsecurity.techtarget.com/definition/out-of-band-authentication
Очень, кстати интересный ресурс, советую изучить для того чтобы разобраться в теме.
Там к слову есть и стаья по поводу разницы между 2SV и 2FA:
http://searchsecurity.techtarget.com/definition/two-step-verification
где есть и пояснение по поводу:

Например, Twitter в блоге нарекает свою двухэтапную аутентификацию двухфакторной, а Google в справке уравнивает эти способы (впрочем, компания предлагает оба).

Там написано следующее:
“Тем не менее, многие продукты и услуги двухэтапной аутентификации также являются примерами двухфакторной аутентификации. Google 2-Step Verification, например, включает в себя обычный пароль (что-то пользователь знает) и код посылается на устройство пользователя (что-то у пользователя есть). Большинство других текущих веб-систем аутентификации пользователей, считающиеся двухэтапной аутентификацией также квалифицируются двухфакторной аутентификации.”

Please wait...
Alexander Stepanov
Alexander Stepanov
8 лет назад

Дальше, нашел специализированный ресурс, где OOB, про которое речь в статье, указывается имеено как 2FA: “Out-of-band authentication is a type of two-factor authentication”. http://searchsecurity.techtarget.com/definition/out-of-band-authentication
Очень, кстати интересный ресурс, советую изучить для того чтобы разобраться в теме. Там к слову есть и стаья по поводу разницы между 2SV и 2FA:
http://searchsecurity.techtarget.com/definition/two-step-verification
где есть и пояснение по поводу:

Например, Twitter в блоге нарекает свою двухэтапную аутентификацию двухфакторной, а Google в справке уравнивает эти способы (впрочем, компания предлагает оба).

Там написано следующее:
“Тем не менее, многие продукты и услуги двухэтапной аутентификации также являются примерами двухфакторной аутентификации. Google 2-Step Verification, например, включает в себя обычный пароль (что-то пользователь знает) и код посылается на устройство пользователя (что-то у пользователя есть). Большинство других текущих веб-систем аутентификации пользователей, считающиеся двухэтапной аутентификацией также квалифицируются двухфакторной аутентификации.”

Please wait...
Олександр Ляпота
Администратор
Олександр Ляпота
8 лет назад

Так тач айди это и не считается крутой защитой )

Please wait...
Alexander Stepanov
Alexander Stepanov
8 лет назад

Ну то есть есть тач айди устаревший?

Please wait...
Наверх