SMS аутентификация опасна!

NIST забраковал двухфакторную верификацию через SMS сообщения и признал ее небезопасной. Почему, и что из этого следует.

Национальный институт стандартов и технологий Америки (NIST) признал смс сообщения, которые используются для авторизации, небезопасными и призвал отказаться от этого способа, о чем они сообщили в последнем выпуске «Руководство по цифровой аутентификации».

Опасения института не беспочвенны, существует много способов перехвата таких SMS сообщений при помощи сложных атак SS7, благодаря дефекту в работе сотовых сетей или обратившись к оператору и доказав ему что абонент, якобы, сменил номер.

Смена телефонного номера не должна быть возможна без применения двухфакторной верификации, во время смены номера — заявили в NIST. Разговоры об опасности двухфакторной аутентификации в которых используются смс идет давно, сейчас же институт выложил в открытый доступ руководство по этому вопросу, для его обсуждения.

 В дальнейшем все сервисы, которые используют смс для авторизации, будут обязаны подтвердить, что они отправляют текстовое сообщение на номер мобильного телефона, а не на VoIP-сервис, отметили в NIST.