Национальный Институт стандартов и технологий США (The National Institute of Standards and Technology, NIST) недавно представил интересный документ, согласно которому, использование SMS-сообщений для осуществления двухфакторной аутентификации в будущем поощряться не будет.name="cut">
Представленный NIST документ, это предварительная версия будущего Digital Authentication Guideline, то есть документа, который установит новые нормы и правила в отношении цифровых методов аутентификации.
В разделе документа 5.1.3.2 сказано:
«Если out-of-band верификация осуществляется посредством SMS-сообщения в публичной сети мобильной телефонной связи, верификатор ДОЛЖЕН убедиться, что используемый предварительно зарегистрированный телефонный номер действительно ассоциируется с мобильной сетью, а не с VoIP или иным софтверным сервисом. После возможна отправка SMS-сообщения на предварительно зарегистрированный телефонный номер. Изменение предварительно зарегистрированного телефонного номера НЕ ДОЛЖНО быть возможно без двухфакторной аутентификации в ходе изменения. Использование SMS-сообщений недопустимо, и не будет дозволяться в будущих версиях данного руководства»
С одной стороны – это понятно, ведь номер телефона можно привязать к VoIP-сервису и смартфон может быть украден или временно быть в чужих руках, но с другой стороны непонятно, ведь использовать, как предложено, токен можно либо только при использовании ПК либо нужно использовать его программную эмуляцию.
Использовать же в качестве второго фактора биометрию, в свете недавних событий (использование муляжа пальца для получения доступа к смартфону) на мой взгляд, довольно сомнительное удовольствие. Реализованная же Microsoft функция Windows Hello с использованием сканирования радужки глаза пока особого распространения не получила. Что нам предложат? Самому интересно 
