«Если out-of-band верификация осуществляется посредством SMS-сообщения в публичной сети мобильной телефонной связи, верификатор ДОЛЖЕН убедиться, что используемый предварительно зарегистрированный телефонный номер действительно ассоциируется с мобильной сетью, а не с VoIP или иным софтверным сервисом. После возможна отправка SMS-сообщения на предварительно зарегистрированный телефонный номер. Изменение предварительно зарегистрированного телефонного номера НЕ ДОЛЖНО быть возможно без двухфакторной аутентификации в ходе изменения. Использование SMS-сообщений в OOB недопустимо, и не будет дозволяться в будущих версиях данного руководства».
Также ИБ-специалисты уже доказали, что для обхода двухфакторной аутентификации может использоваться и набор сигнальных телефонных протоколов SS7 (или ОКС-7, Система сигнализации № 7), разработанный в далеком 1975 году.
Словом, перехватить SMS-сообщение, содержащее секретный код, можно целым рядом способов, поэтому такую защиту вряд ли можно считать по-настоящему надежной. Похоже, инженеры Google согласны с выводами специалистов, так как в конце прошлой недели в официальном блоге компании появилась интересная запись.
Google предлагает пользователям Android и iOS альтернативу SMS-сообщениям с 2016 года: тогда компания впервые представила двухэтапную аутентификацию через мобильные уведомления. В феврале текущего года эта система была улучшена, на экране уведомления стала отображаться дополнительная информация, к примеру, данные о местоположении и устройстве, с которого осуществлялась попытка входа в аккаунт Google.
Начиная с этой недели, Google будет предлагать всем, кто уже пользуется двухэтапной верификацей посредством SMS, перейти на использование уведомлений, что, как утверждают разработчики, будет не только безопаснее, но и удобнее. Тогда как для использования уведомлений пользователям Android не придется совершать каких-либо дополнительных действий, пользователям iOS, которые пожелают воспользоваться новой функцией, придется установить приложение Google Search.
Разумеется, пока речь не идет об отказе от использования SMS-сообщений вообще. У пользователей будет возможность отказаться от предложения и продолжить использовать тестовые сообщения с одноразовыми кодами. Однако разработчики Google пишут, что через полгода отказавшимся пользователям будут вновь разосланы сообщения с предложением перейти на более прогрессивный метод аутентификации.
Источник: xakep.ru