Согласно Национальному институту стандартов и технологий (NIST) при Департаменте торговли США, необходимо отказаться от двухфакторной аутентификации (2FA) на основе SMS-сообщений.
В последней предварительной редакции Руководства по цифровой аутентификации федеральное агентство по технологиям объясняет, что данный подход создает определенные риски.
По заявлениям NIST, SMS-сообщения могут быть «перехвачены и перенаправлены», и аутентификация 2FA по SMS не обеспечивает необходимого уровня безопасности.
«Специалистам по внедрению новых систем следует быть внимательными при выборе альтернативных аутентификаторов», – рекомендует Институт.
Сюда относится аутентификация 2FA с использованием одноразовых паролей (OTP), а также аутентификация на основе аппаратных токенов или push-аутентификация.
Как уже заявлял Дэвид Харли, старший научный сотрудник компании ESET: «Одноразовые пароли и токены гораздо более безопасны, особенно если реализованы в аппаратных средствах в качестве меры двухфакторной аутентификации».
Аутентификации 2FA по всему миру придается все большее значение, и все больше организаций стремится инвестировать средства в этот дополнительный уровень безопасности.
Такие широко известные ИТ-компании, как Apple, Twitter, Google, Facebook и Snapchat, в последние годы выступают за использование 2FA.
Важно помнить, что при идентификации 2FA пользователям по-прежнему необходимо быть бдительными и защищать свои устройства и учетные записи сильными и сложными паролями.
Более того, вместо паролей пользователям рекомендуется использовать парольные фразы – «более длинные, сложные и легко запоминающиеся», которые труднее взламываются.
Источник: WeLiveSecurity
