NIST: SMS можна використовувати в якості засобу аутентифікації



Американський інститут стандартів і технологій (NIST) выступил за відмову від використання SMS в якості одного з елементів двофакторної аутентифікації. У черговому чернетці стандарту Digtial Authentication Guideline представники відомства зазначають, що «[позасмугова аутентифікація] з допомогою SMS буде заборонена стандартом і не буде допускатися у його подальших виданнях».

Документ не є обов'язковим, але у відповідності зі стандартами NIST будують свою інфраструктуру багато державні установи та компанії США, тому таке рішення може серйозно змінити підходи до забезпечення інформаційної безпеки вже в найближчому майбутньому.

Під смуговий аутентифікацією тут мається на увазі використання другого пристрою для ідентифікації особи користувача.

Чому SMS можна використовувати для аутентифікації

У документі NIST безпосередньо не вказані причини того, чому SMS не слід використовувати в якості елементів двофакторної системи аутентифікації. Тим не менш, очевидно, що представники Інституту врахували в чернетці численні повідомлення про зломи і перехоплення SMS.

Зокрема, широкого розголосу набула історія із зломом Telegram-акаунтів російських опозиціонерів. Про те, що система авторизації по SMS в месенджері можливо скомпрометована заявив Павло Дуров. На думку творця Telegram, атака не могла бути здійснена без втручання спецслужб. Однак експерти Positive Technologies провели власне дослідження, в результаті якого їм вдалося перехопити коди аутентифікації Telegram і WhatsApp з допомогою вразливостей мереж SS7.

В результаті був отриманий повний доступ до облікових записів в месенджері — здійснив подібну атаку зловмисник зможе не тільки перехоплювати дані, але і вести листування від імені жертви.



Крім того, раніше ми публікували результати дослідження захищеності мереж SS7. Підсумковий рівень безпеки мереж SS7 всіх досліджених операторів мобільного зв'язку виявився вкрай невисокий. У 2015 році відносно операторів зв'язку та їх мереж SS7 могли бути реалізовані атаки, пов'язані з витоком даних абонентів (77% успішних спроб), порушеннями в роботі мережі (80%) і шахрайськими діями (67%).

Популярність цієї теми легко перевірити. Відповідні запити в пошукових системах видають посилання на спеціалізовані ресурси в закритому інтернеті:



У закритому сегменті мережі можна знайти безліч сервісів для злому SS7:



Замовлення на подібні зломи також розміщуються цілком відкрито:



Крім того, вразливостям піддаються не тільки технологічні мережі SS7, але і алгоритми шифрування радіоінтерфейсу. Атаки на мережу SS7 можна здійснювати з будь-якої точки світу, а можливості зловмисника не обмежуються зломом месенджерів. І зараз всі ці атаки стають доступні не тільки спецслужбам, але й зловмисникам, ніяк не пов'язаним з державою.

Що тепер буде

Кращі практики, що публікуються NIST не є юридично зобов'язуючими стандартами. Однак багато державні відомства і агентства США слідують їм, що роблять і багато компаній, що представляють ІТ-галузь. Тому багато хто з них після такого однозначеного вердикту Інституту стандартів і технологій почнуть придивлятися до альтернативних способів аутентифікації, крім SMS.

Серед таких альтернатив, наприклад, додатки, які доставляють користувачам двофакторні коди, що оновлюються кожні 30 секунд — серед них такі, як Google Authenticator, Authy, Duo. Великі корпорації розробляють інструменти, які працюють на основі схожих принципів (RSA SecureID).

Тим не менше, повного і повсюдного відмови від систем аутентифікації, заснованих на застосуванні SMS в найближчому майбутньому не відбудеться. Однак поступово буде рости число сервісів, які підтримують двофакторну аутентифікацію не тільки через SMS, але і всередині своїх додатків. І саме такі системи будуть показувати кращі результати у справі забезпечення безпеки користувачів.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.