Apple и Google предложили стандартизировать тексты SMS для двухфакторной аутентификации

Apple и Google предложили стандартизировать тексты SMS для двухфакторной аутентификации
706356d42a64fe1e31b89becad5bbf81.jpg

Эксперты ИБ давно работают над проблемой двухфакторной аутентификации с использованием имеющихся у пользователя устройств. SMS с одноразовым кодом является доступным и удобным методом, однако обладает определенными рисками. Например, отсутствие стандартизации текста присылаемых кодов позволяет проводить атаки спуфинга и обманные манипуляции с приходящими кодами.
Инженеры Apple и Google совместно предложили вариант стандартизации текста SMS, который уменьшит риски манипуляций с подменой кода. Предложение поступило от имени Web Platform Incubator Community Group (WICG) – коммьюнити разработчиков ПО Интернет-браузинга.

Основными задачами стандарта являются: регламентировать формат сообщения, ввести обязательность прямой ассоциации с URL. За счет определенного вида сообщения («@URL #код») ПО приложения может самостоятельно извлекать код. Таким образом, снижается потенциал обмана от фишинговых сайтов для получения действительных SMS-кодов систем.

Вполне возможно, что на базе предложенной инициативы будет разработан стандарт World Wide Web Consortium (W3C). World Wide Web – коммьюнити, занимающееся проработкой стандартов для работы всемирной сети.

Напомним, что многие регулирующие организации признали  SMS-коды ненадежными в части приложений клиент-банков и подтверждений платежей. Рекомендуется их заменить на PUSH-уведомления в рамках приложения клиент-банка, где уже используются криптография, аутентификации и другие техники защиты.

Для двухфакторной аутентификации в корпоративных приложениях существуют специализированные продукты – One Time Password (OTP). Данные решения предоставляют механизмы генерации и доставки пользователю одноразовых паролей, синхронизированных с приложением и ограниченных коротким сроком жизни. Варианты доставки сервиса пользователю могут быть как аппаратными (физические токены), так и программными (программные токены), в том числе для мобильных устройств.
Группа компаний Angara работает с ведущими производителями OTP-решений:
  • Система многофакторной аутентификации SafeNet OTP,
  • Семейство продуктов JaCarta компании Аладдин,
  • Система многофакторной аутентификации Indeed,
  • Система многофакторной аутентификации Duo в интеграции с продуктами Cisco.
Alt text

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Angara Technologies Group

Корпоративный блог компании Angara Technologies Group