Националният институт за изисквания, както и иновациите (NIST) са на път да затворят вратата при използването на системата за къси съобщения (SMS) като a Вторична техника на валидиране за услуги, както и приложения, които искат да настроят двуфакторна автентификация.
NIST е труден по време на работа, разглеждайки своите насоки за цифрово удостоверяване, което е съществен документ, който по същество очертава политиките, които трябва да следват създателите на софтуерно приложение за удостоверяване, както и е предприел стъпката, за да отменят използването на SMS като техника за доставка на доставка вторично ниво на безопасност срещу сметка. Изглежда, че вярата на NIST, че разпространението на този материал с помощта на текстово съобщение вече не може да бъде класифицирано като достатъчно безопасно.
Компаниите, както и доставчиците на услуги, които предлагат двуфакторна автентификация като много по-стабилно определяне на безопасността срещу акаунт, отдавна използват SMS текстовите съобщения като метод за настройване на тази допълнителна сигурност. Много по -често, отколкото не, това се счита за основен вариант за добавяне на още един слой безопасност върху основната парола, с няколко от най -големите бизнес в света като Apple, както и Google да го внедри, заедно с неговите Собствени опции, като например да можете да потвърдите достъпа на получаване с вторично „надеждно устройство“ или чрез имейл.
Новите указания абсолютно предотвратяват използването на SMS като „автентикатор извън лентата“, което обикновено показва, че бизнесът трябва да бъде обезкуражен да използва текстови съобщения, като показва, че предоставянето на еднократни използване на кодове за двуфакторна удостоверяване:
Ако проверката на лентата трябва да се извърши, като се използва SMS съобщение в публична мобилна телефонна мрежа, проверката потвърждава, че предварително регистрираният телефонен номер, който се използва, е наистина свързан с мобилна мрежа, както и не с VOIP (или Друга софтуерна базирана) услуга. След това изпраща SMS съобщението до предварително регистрирания телефонен номер. Промяната на предварително регистрирания телефонен номер не е възможно без двуфакторна удостоверяване към момента на промяната. OOB използването на SMS се оттегля, както и вече няма да бъде активирано в бъдещите версии на това ръководство.
Новите насоки могат да бъдат значителни както за модификациите, така и препоръките, както бихте очаквали от документ от този характер, но изглежда, че има основен акцент върху гарантирането, че материалът вече не се изпраща с техники, които могат да се считат Да бъде несигурен, като текстово съобщение или дори VoIP услуги, които вече са проверени, че са доста лесни за компромиси.
Ще бъде много завладяващо да видим как точно реагира бизнесът, както и прилагането на новите насоки, които продължават напред.
(Източник: NIST, VIA: TechCrunch)
Можете също така да искате да проверите:
Jailbreak iOS 9.3.3, 9.3.2, много повече с Pangu на iPhone, както и iPad [актуализиран]
Активирайте двуфакторното удостоверяване на Apple ID / iCloud, ето как
Как да разрешите проверка в две стъпки за Apple ID / iTunes / iCloud
Можете да се съобразите с нас в Twitter, да ни добавите към вашия кръг в Google+ или като нашата страница във Facebook, за да се актуализирате за всички текущи от Microsoft, Google, Apple, както и в мрежата.