Согласно Национальному институту стандартов и технологий (NIST) при Департаменте торговли США, необходимо отказаться от двухфакторной аутентификации (2FA) на основе SMS-сообщений.

В последней предварительной редакции Руководства по цифровой аутентификации федеральное агентство по технологиям объясняет, что данный подход создает определенные риски.

По заявлениям NIST, SMS-сообщения могут быть «перехвачены и перенаправлены», и аутентификация 2FA по SMS не обеспечивает необходимого уровня безопасности.

«Специалистам по внедрению новых систем следует быть внимательными при выборе альтернативных аутентификаторов», – рекомендует Институт.

Сюда относится аутентификация 2FA с использованием одноразовых паролей (OTP), а также аутентификация на основе аппаратных токенов или push-аутентификация.

Как уже заявлял Дэвид Харли, старший научный сотрудник компании ESET: «Одноразовые пароли и токены гораздо более безопасны, особенно если реализованы в аппаратных средствах в качестве меры двухфакторной аутентификации».

Аутентификации 2FA по всему миру придается все большее значение, и все больше организаций стремится инвестировать средства в этот дополнительный уровень безопасности.

Такие широко известные ИТ-компании, как Apple, Twitter, Google, Facebook и Snapchat, в последние годы выступают за использование 2FA.

Важно помнить, что при идентификации 2FA пользователям по-прежнему необходимо быть бдительными и защищать свои устройства и учетные записи сильными и сложными паролями.

Более того, вместо паролей пользователям рекомендуется использовать парольные фразы – «более длинные, сложные и легко запоминающиеся», которые труднее взламываются.

Источник: WeLiveSecurity