SMS-аутентификация не вписывается в стандарт безопасности
Американский Национальный институт стандартов и технологий (NIST) призывает отказаться от SMS-сообщений как компонента систем двухфакторной аутентификации. В последней версии «Руководства по цифровой аутентификации» организация объявляет о том, что верификация при помощи SMS-сообщений будет исключена из рекомендаций института. В дальнейшем по требованию NIST все сервисы, использующие SMS-аутентификацию, должны подтвердить, что отправляют текстовое сообщение на номер мобильного телефона, а не VoIP-сервиса.
Опасения NIST можно понять: уже известно о способах перехвата SMS-сообщений путем сложной атаки на SS7, возможной из-за «врожденного» дефекта в работе сотовых сетей, а также более простым и доступным всем способом — например, используя навыки социнженерии, доказав оператору, что абонент сменил номер. «Таким образом, смена телефонного номера НЕ ДОЛЖНА быть возможна без применения двухфакторной авторизации во время смены номера», — говорится в документе. О планах института насчет SMS было известно еще в мае, но теперь редакция руководства доступна для «общественной экспертизы». Организация опубликовала документ в репозитории на GitHub, ожидая комментариев «по существу, а не по вопросам грамматики и изложения».
Источник: https://threatpost.ru/sms-autentifikatsiya-ne-vpisyvaetsya-v-standart-bezopasnosti/17366/
