Найти в Дзене
Angara Security
35 подписчиков

Apple и Google предложили стандартизировать тексты SMS для двухфакторной аутентификации

5
1 мин
Эксперты ИБ давно работают над проблемой двухфакторной аутентификации с использованием имеющихся у пользователя устройств. SMS с одноразовым кодом является доступным и удобным методом, однако обладает определенными рисками. Например, отсутствие стандартизации текста присылаемых кодов позволяет проводить атаки спуфинга и обманные манипуляции с приходящими кодами. Инженеры Apple и Google совместно предложили вариант стандартизации текста SMS, который уменьшит риски манипуляций с подменой кода. Предложение поступило от имени Web Platform Incubator Community Group (WICG) – коммьюнити разработчиков ПО Интернет-браузинга. Основными задачами стандарта являются: регламентировать формат сообщения, ввести обязательность прямой ассоциации с URL. За счет определенного вида сообщения («@URL #код») ПО приложения может самостоятельно извлекать код. Таким образом, снижается потенциал обмана от фишинговых сайтов для получения действительных SMS-кодов систем. Вполне возможно, что на базе предложенной

Эксперты ИБ давно работают над проблемой двухфакторной аутентификации с использованием имеющихся у пользователя устройств. SMS с одноразовым кодом является доступным и удобным методом, однако обладает определенными рисками. Например, отсутствие стандартизации текста присылаемых кодов позволяет проводить атаки спуфинга и обманные манипуляции с приходящими кодами.

Инженеры Apple и Google совместно предложили вариант стандартизации текста SMS, который уменьшит риски манипуляций с подменой кода. Предложение поступило от имени Web Platform Incubator Community Group (WICG) – коммьюнити разработчиков ПО Интернет-браузинга.

Основными задачами стандарта являются: регламентировать формат сообщения, ввести обязательность прямой ассоциации с URL. За счет определенного вида сообщения («@URL #код») ПО приложения может самостоятельно извлекать код. Таким образом, снижается потенциал обмана от фишинговых сайтов для получения действительных SMS-кодов систем.

Вполне возможно, что на базе предложенной инициативы будет разработан стандарт World Wide Web Consortium (W3C). World Wide Web – коммьюнити, занимающееся проработкой стандартов для работы всемирной сети.

Напомним, что многие регулирующие организации признали SMS-коды ненадежными в части приложений клиент-банков и подтверждений платежей. Рекомендуется их заменить на PUSH-уведомления в рамках приложения клиент-банка, где уже используются криптография, аутентификации и другие техники защиты.

Для двухфакторной аутентификации в корпоративных приложениях существуют специализированные продукты – One Time Password (OTP). Данные решения предоставляют механизмы генерации и доставки пользователю одноразовых паролей, синхронизированных с приложением и ограниченных коротким сроком жизни. Варианты доставки сервиса пользователю могут быть как аппаратными (физические токены), так и программными (программные токены), в том числе для мобильных устройств.

Группа компаний Angara работает с ведущими производителями OTP-решений:

  • Система многофакторной аутентификации SafeNet OTP,
  • Семейство продуктов JaCarta компании Аладдин,
  • Система многофакторной аутентификации Indeed,
  • Система многофакторной аутентификации Duo в интеграции с продуктами Cisco.