Эксперты ИБ давно работают над проблемой двухфакторной аутентификации с использованием имеющихся у пользователя устройств. SMS с одноразовым кодом является доступным и удобным методом, однако обладает определенными рисками. Например, отсутствие стандартизации текста присылаемых кодов позволяет проводить атаки спуфинга и обманные манипуляции с приходящими кодами.
Инженеры Apple и Google совместно предложили вариант стандартизации текста SMS, который уменьшит риски манипуляций с подменой кода. Предложение поступило от имени Web Platform Incubator Community Group (WICG) – коммьюнити разработчиков ПО Интернет-браузинга.
Основными задачами стандарта являются: регламентировать формат сообщения, ввести обязательность прямой ассоциации с URL. За счет определенного вида сообщения («@URL #код») ПО приложения может самостоятельно извлекать код. Таким образом, снижается потенциал обмана от фишинговых сайтов для получения действительных SMS-кодов систем.
Вполне возможно, что на базе предложенной инициативы будет разработан стандарт World Wide Web Consortium (W3C). World Wide Web – коммьюнити, занимающееся проработкой стандартов для работы всемирной сети.
Напомним, что многие регулирующие организации признали SMS-коды ненадежными в части приложений клиент-банков и подтверждений платежей. Рекомендуется их заменить на PUSH-уведомления в рамках приложения клиент-банка, где уже используются криптография, аутентификации и другие техники защиты.
Для двухфакторной аутентификации в корпоративных приложениях существуют специализированные продукты – One Time Password (OTP). Данные решения предоставляют механизмы генерации и доставки пользователю одноразовых паролей, синхронизированных с приложением и ограниченных коротким сроком жизни. Варианты доставки сервиса пользователю могут быть как аппаратными (физические токены), так и программными (программные токены), в том числе для мобильных устройств.
Группа компаний Angara работает с ведущими производителями OTP-решений:
- Система многофакторной аутентификации SafeNet OTP,
- Семейство продуктов JaCarta компании Аладдин,
- Система многофакторной аутентификации Indeed,
- Система многофакторной аутентификации Duo в интеграции с продуктами Cisco.
