ΑρχικήsecurityΟδηγία του NIST κατά του SMS Two Factor Authentication

Οδηγία του NIST κατά του SMS Two Factor Authentication

Το Εθνικό Ινστιτούτο Προτύπων και Τεχνολογίας (NIST) των ΗΠΑ κυκλοφόρησε την τελευταία έκδοση του σχεδίου Ψηφιακής Αυθεντικοποίησης που συμπεριλαμβάνει κατευθυντήριες γραμμές για περισσότερη ασφάλεια στο διαδίκτυο. Η νέα έκδοση προαναγγέλλει την μελλοντική απαγόρευση της μεθόδου ελέγχου ταυτότητας δύο παραγόντων που χρησιμοποιεί SMS (SMS Two Factor Authentication ή 2FA).

Οι νέες κατευθυντήριες γραμμές (Digital Authentication Guideline ή DAG) είναι ένα σύνολο κανόνων που χρησιμοποιείται από κατασκευαστές λογισμικού για την κατασκευή ασφαλών υπηρεσιών, καθώς και από την κυβέρνηση και ιδιωτικούς φορείς για την αξιολόγηση της ασφάλειας υπηρεσιών και λογισμικού.2fa NIST

Οι εμπειρογνώμονες του NIST ενημερώνουν συνεχώς τις κατευθυντήριες γραμμές, σε μια προσπάθεια να συμβαδίσουν με τις αλλαγές που τρέχουν στον τομέα της πληροφορικής.

Σύμφωνα με την τελευταία έκδοση του Digital Authentication Guideline (DAG) οι αξιωματούχοι του ΝΙST φαίνεται να αποθαρρύνουν τις εταιρείες στη χρήση ελέγχου ταυτότητας δύο παραγόντων μέσω SMS, αναφέροντας ότι το SMS 2FA θα μπορούσε να θεωρηθεί ανασφαλής σε μελλοντικές εκδόσεις του DAG.

Το NIST DAG υποστηρίζει ότι ο έλεγχος ταυτότητας δύο παραγόντων που χρησιμοποιεί SMS είναι μια επισφαλής διαδικασία, διότι το τηλέφωνο μπορεί να μην είναι πάντα στην κατοχή του ιδιοκτήτη του.

Επίσης επειδή ορισμένες υπηρεσίες VoIP επιτρέπουν την πειρατεία των μηνυμάτων SMS, οι αξιωματούχοι του ΝIST ενθαρρύνουν τους προμηθευτές λογισμικού που χρησιμοποιούν συστήματα 2FA με SMS να ελέγχουν τις συνδέσεις του VoIP πριν την αποστολή ενός κωδικού 2FA.

Το SMS ως πρωτόκολλο θεωρείται ευρέως ανασφαλές. Κατά καιρούς έχουμε διαβάσει πολλές αδυναμίες στο πρωτόκολλο SMS που επιτρέπουν την υποκλοπή δεδομένων.

SecNews
SecNewshttps://www.secnews.gr
In a world without fences and walls, who need Gates and Windows

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS