Статьи

09
Август 2016

NIST не рекомендует использовать SMS в качестве метода аутентификации

Раздел: Новости | Теги: аутентификация SMS многофакторная аутентификация одноразовый пароль OTP двухфакторная аутентификация строгая аутентификация сервер аутентификации

В недавнем черновике "Руководства по цифровой аутентификации" Национального Института Стандартов и Технологи США (NIST) отмечено, что многофакторная аутентификация с использованием SMS не рекомендуется и не будет допустимой в будущих релизах этого руководства.

Суть аутентификации по SMS довольна проста. Пользователю на мобильный телефон отправляется короткое сообщение, которое содержит секрет или, говоря проще, одноразовый пароль. Пользователь вводит полученный секрет в поле ввода программы или системы, в которой он производит аутентификацию. Требования NIST уточняют, что секрет должен быть сгенерирован рандомно с энтропией не менее 20 бит, что является общим требованием для Out-of-band методов аутентификации. Причем, если энтропия меньше 64 бит, то все еще требуется механизм не позволяющий быстро подбирать одноразовые пароли. А всего на ввод одноразового пароля, присланного по SMS отводится 5 минут. До отправки пароля пользователю, нужно проверить, что зарегистрированный при регистрации номер телефона является мобильным номером, а не VoIP сервисом.

Чем же так плоха полюбившаяся многим доступная и удобная аутентификация по SMS?

Как написано в самом документе NIST, есть риск, что SMS сообщения могут быть перехвачены или перенаправлены. Это может произойти на разных уровнях: от малвари на смартфоне до сети оператора и даже глобальной сети SS7. Номер мобильного телефона уязвим к такой простейшей манипуляции, как мошеннический перевыпуск SIM карты (по поддельной доверенности либо просто недобросовестными сотрудниками). Многочисленные возможности по краже сообщения SMS, а вместе с ними и одноразового пароля, делают этот метод аутентификации слабым.
В связи с этим, рекомендуется обратить внимание на альтернативные методы аутентификации. Это может быть тоже OOB аутентификация, но вместо SMS допускается использовать мобильное приложение, получающее одноразовые пароли методом push. Можно использовать аппаратные или программные генераторы OTP, например открытых стандартов OATH: HOTP, TOTP, OCRA. Проверенным способом аутентификации является использование аппаратных криптографических устройств — PKI смарт-карт или токенов.
Если вы уже используете сервер аутентификации, поддерживающий такие методы, то переход с одноразовых SMS кодов на другой метод аутентификации может быть произведен просто и быстро.

Теги: аутентификацияSMSмногофакторная аутентификацияодноразовый парольOTPдвухфакторная аутентификациястрогая аутентификациясервер аутентификации