Двухфакторная брешь

Подавляющее большинство пользователей плевать хотели на собственную конфиденциальность, несмотря на все увещевания знатоков в области информационной безопасности. Однако, есть существенная разница между защитой личных данных и информации работодателя или клиентов. В последнем случае заботы о сохранности ложатся на плечи специалистов. Недавно были обнародованы интересные выводы экспертов о двухфакторной аутентификации с использованием SMS, которая, по сути, стала стандартом для многих крупных онлайновых сервисов и финансовых учреждений.

Национальный Институт стандартов и технологий США (NIST) опубликовал черновой вариант рекомендаций, согласно которым двухфакторная аутентификация с использованием SMS не может считаться безопасной. Поскольку указанный пользователем номер телефона в действительности может обслуживаться одним из сервисов VoIP с неподтвержденным уровнем надежности, а короткие текстовые сообщения на мобильный могут быть перехвачены посредством вируса на устройстве. Также мошенники сегодня нередко используют бреши в упрощенной процедуре смены зарегистрированного в том или ином сервисе номера телефона. Последняя, по мнению экспертов, в обязательном порядке должна включать двухфакторную аутентификацию без использования SMS (например, с применением специальных приложений, токенов или других криптографических аутентификаторов). Также, ожидаемо, немалые надежды в обозримом будущем возлагаются на биометрические датчики.

Отметим, что упомянутый документ станет своеобразным руководством для разработчиков и производителей защищенных продуктов, а также работающих с ними правительственных и частных организаций в США.