Google постепенно отказывается от двухэтапной аутентификации через SMS

Эксперты давно говорят о том, что в современных реалиях SMS-сообщения нельзя считать надежным «вторым фактором» для осуществления двухфакторной аутентификации. В 2016 году Национальный институт стандартов и технологий США (The National Institute of Standards and Technology, NIST) представил документ, согласно которому, использование SMS-сообщений для осуществления двухфакторной аутентификации в будущем поощряться не будет. В документе содержится прямое указание на то, что использование SMS-сообщений для двухфакторной аутентификации может являться «недопустимым» и «небезопасным» (секция документа 5.1.3.2). Полностью данный параграф выглядит так:

«Если out-of-band верификация осуществляется посредством SMS-сообщения в публичной сети мобильной телефонной связи, верификатор ДОЛЖЕН убедиться, что используемый предварительно зарегистрированный телефонный номер действительно ассоциируется с мобильной сетью, а не с VoIP или иным софтверным сервисом. После возможна отправка SMS-сообщения на предварительно зарегистрированный телефонный номер. Изменение предварительно зарегистрированного телефонного номера НЕ ДОЛЖНО быть возможно без двухфакторной аутентификации в ходе изменения. Использование SMS-сообщений в OOB недопустимо, и не будет дозволяться в будущих версиях данного руководства».

Также ИБ-специалисты уже доказали, что для обхода двухфакторной аутентификации может использоваться и набор сигнальных телефонных протоколов SS7 (или ОКС-7, Система сигнализации № 7), разработанный в далеком 1975 году.

Словом, перехватить SMS-сообщение, содержащее секретный код, можно целым рядом способов, поэтому такую защиту вряд ли можно считать по-настоящему надежной. Похоже, инженеры Google согласны с выводами специалистов, так как в конце прошлой недели в официальном блоге компании появилась интересная запись.

Google предлагает пользователям Android и iOS альтернативу SMS-сообщениям с 2016 года: тогда компания впервые представила двухэтапную аутентификацию через мобильные уведомления. В феврале текущего года эта система была улучшена, на экране уведомления стала отображаться дополнительная информация, к примеру, данные о местоположении и устройстве, с которого осуществлялась попытка входа в аккаунт Google.

Начиная с этой недели, Google будет предлагать всем, кто уже пользуется двухэтапной верификацей посредством SMS, перейти на использование уведомлений, что, как утверждают разработчики, будет не только безопаснее, но и удобнее. Тогда как для использования уведомлений пользователям Android не придется совершать каких-либо дополнительных действий, пользователям iOS, которые пожелают воспользоваться новой функцией, придется установить приложение Google Search.

Разумеется, пока речь не идет об отказе от использования SMS-сообщений вообще. У пользователей будет возможность отказаться от предложения и продолжить использовать тестовые сообщения с одноразовыми кодами. Однако разработчики Google пишут, что через полгода отказавшимся пользователям будут вновь разосланы сообщения с предложением перейти на более прогрессивный метод аутентификации.

Источник: xakep.ru