| 26 июля 2016 г. — 5:16 утра по тихоокеанскому времени
Одной из опций, доступных при использовании двухфакторной аутентификации (2FA) от Apple, является получение кода по SMS. Национальный институт стандартов и технологий США, устанавливающий стандарты для программного обеспечения аутентификации, утверждает, что обмен текстовыми сообщениями недостаточно безопасен, и его использование для двухфакторной аутентификации в будущем будет запрещено…
Хотя рекомендации NIST не имеют юридической силы, большинство крупных компаний их соблюдают, что предполагает, что Apple, скорее всего, откажется от поддержки SMS-аутентификации после публикации рекомендации.
Текущие опции двухфакторной аутентификации Apple:
- код, отправленный на доверенное устройство (iPhone, iPad, iPod Touch или Mac)
- телефонный звонок на доверенный номер телефона
- код, отправленный по SMS на доверенный номер телефона
В текущем черновике NIST говорится только, что компании должны гарантировать, что доверенные телефонные номера связаны с мобильной сетью, а не с виртуальным номером, работающим через службу VoIP. Это связано с тем, что службы VoIP могут быть скомпрометированы. Однако в одном предложении в конце соответствующего текста говорится, что «использование SMS вне полосы [верификации] устарело и больше не будет разрешено в будущих версиях этого руководства».
Одним из потенциальных источников путаницы здесь является то, что термин «вне полосы» может использоваться по-разному. Он относится к физически отдельному каналу, который в телекоммуникационном смысле иногда используется для обозначения служб VoIP. Однако с точки зрения безопасности вход в систему через веб-интерфейс и получение кода верификации по телефону также будет считаться «вне полосы». Здесь, по-видимому, имеется в виду последнее, что предполагает запрет на любое использование SMS.
Если вы еще не используете двухфакторную аутентификацию, настоятельно рекомендуется это сделать: ознакомьтесь с нашим руководством.
Via CNET