Чи може двоетапна верифікація за допомогою текстів піти шляхом дронта?

Кількість веб-сайтів та сервісів, що використовують двоетапну верифікацію для захисту облікових записів, з роками збільшилася – проте остання пропозиція Національного інституту стандартів та технологій може поставити хрест на цьому методі верифікації.

У своєму основному втіленні двоетапна перевірка (також відома як багатофакторна автентифікація та двофакторна автентифікація) працює шляхом надсилання вам одноразового коду через SMS при вході в один з ваших цифрових облікових записів. Теоретично, навіть якщо хтось має ваше ім’я користувача та пароль, він не може отримати доступ до вашого облікового запису без доступу до вашого телефону. Двоетапна перевірка не є універсальним рішенням, яке назавжди захистить ваші акаунти, але вона, безумовно, довела свою стійкість з плином часу.

На жаль, нещодавні шкідливі програми, такі як HummingBad і Stagefright, показують, що люди знаходять все більше способів віддаленого доступу до вашого телефону і ваших повідомлень, що викликає занепокоєння з приводу двоетапної верифікації. Крім того, як зазначає Slate, такі сервіси, як Skype і Google Voice, з роками стали більш популярними, що ставить під сумнів безпеку протоколів передачі даних, які використовуються системами двоетапної перевірки.

Як наслідок, NIST пропонує використовувати альтернативні аутентифікатори для забезпечення цілісності таких систем.

“Через ризик того, що SMS-повідомлення можуть бути перехоплені або перенаправлені, впроваджувачі нових систем повинні ретельно розглянути альтернативні аутентифікатори”, – йдеться в проекті урядового агентства.

Виходячи з формулювань проекту, NIST закликає відомства уникати нових інвестицій у двоетапні системи верифікації, які використовують SMS-повідомлення, і замість цього інвестувати в альтернативні рішення, такі як біометрія і додатки, які створюють одноразові коди. Однак агентство також попереджає, що використання SMS-повідомлень “може бути більше не дозволено в майбутніх випусках цього керівництва”, що ставить під сумнів, чи буде встановлена дата закінчення терміну дії такого використання.

Майкл Гарсія, заступник директора дослідницької програми з автентифікації NSTIC при NIST, підтвердив формулювання проекту щодо двоетапних систем двоетапної перевірки на основі SMS, заявивши, що слід розглянути альтернативні рішення, якщо організації перебувають на етапі реінвестування.

“Ми не говоримо, що федеральні агентства повинні відмовитися від SMS, не використовувати його більше”, – сказала Гарсія в інтерв’ю виданню Slate. “Але ми говоримо, що якщо ви робите нові інвестиції, ви повинні враховувати це при прийнятті рішень”.

В цілому, проект NIST не має великого значення для людей з цифровими обліковими записами прямо зараз, але не дивуйтеся, якщо з часом такі компанії, як Google і Apple, більше не захочуть надсилати вам одноразові коди і, замість цього, виберуть інші, більш безпечні методи доступу до ваших облікових записів.

Рекомендації редакції

• Samsung Galaxy S23: дата виходу, характеристики, ціна, чутки та новини
• У 2023 році Apple повинна виправити свій ганебний ліміт в 5 ГБ в iCloud
• Що таке Amazon Music: все, що потрібно знати
• OnePlus 11 стартує 7 лютого з двома улюбленими фанатами функціями
• Pixel Feature Drops раніше були вражаючими – тепер вони жахливо посередні

Source: digitaltrends.com