Эксперты не рекомендуют использовать SMS для двухфакторной аутентификаци
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

Эксперты не рекомендуют использовать SMS для двухфакторной аутентификаци

Александр Панасенко 26 Июля 2016 - 13:36
...

Национальный Институт стандартов и технологий США (The National Institute of Standards and Technology, NIST) недавно представил интересный документ, согласно которому, использование SMS-сообщений для осуществления двухфакторной аутентификации в будущем поощряться не будет.

Национальный институт стандартов и технологий США ранее носил название Национального бюро стандартов. На сегодняшний день организация, совместно с Американским национальным институтом стандартов (ANSI) участвует в разработке стандартов и спецификаций к программным решениям, используемым как в государственном секторе США, так и имеющим коммерческое применение.

Представленный NIST документ, это предварительная версия будущего Digital Authentication Guideline, то есть документа, который установит новые нормы и правила в отношении цифровых методов аутентификации. Подобными «инструкциями» руководствуются как производители защищенных продуктов, так и правительственные и частные организаций, которые с защищенными продуктами работают, пишет xakep.ru.

В документе содержится прямое указание на то, что использование SMS-сообщений для двухфакторной аутентификации может являться «недопустимым» и «небезопасным» (секция документа 5.1.3.2). Полностью данный параграф выглядит так:

«Если out-of-band верификация осуществляется посредством SMS-сообщения в публичной сети мобильной телефонной связи, верификатор ДОЛЖЕН убедиться, что используемый предварительно зарегистрированный телефонный номер действительно ассоциируется с мобильной сетью, а не с VoIP или иным софтверным сервисом. После возможна отправка SMS-сообщения на предварительно зарегистрированный телефонный номер. Изменение предварительно зарегистрированного телефонного номера НЕ ДОЛЖНО быть возможно без двухфакторной аутентификации в ходе изменения. Использование SMS-сообщений в OOB недопустимо, и не будет дозволяться в будущих версиях данного руководства».

Основные опасения экспертов Национального институт стандартов и технологий ясны: номер телефона может быть привязан к VoIP-сервису, кроме того, злоумышленники могут попробовать убедить поставщика услуг в том, что номер телефона изменился, и подобные уловки нужно сделать невозможными. Хотя документ рекомендует производителям использовать в своих приложениях токены и криптографические идентификаторы, авторы поправок также отмечают, что смартфон или другое мобильное устройство всегда могут быть украдены, или могут временно находиться в руках другого человека.

Хотя пока это только первый проект документа, да и использование SMS-сообщений еще не запретили окончательно, специалисты NIST уже начали продвигать идеи использования биометрии для аутентификационных нужд:

«Следовательно, использование биометрии для аутентификации поддерживается, при соблюдении следующих условий и рекомендаций: биометрия ДОЛЖНА использоваться совместно с другим идентификационным фактором (что-либо, что вам известно, или что-либо, что у вас есть)».

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Группа Akira заявила о взломе Apache OpenOffice и краже 23 ГБ данных
Екатерина Быстрова 01 Ноября 2025 - 16:14
Вирусы-вымогателиВирусы-шифровальщикиУтечки информацииКража данных Домашние пользователиКорпорации
Группа Akira заявила о взломе Apache OpenOffice и краже 23 ГБ данных

Группировка вымогателей Akira 29 октября опубликовала информацию о взломе Apache OpenOffice — популярного офисного пакета с открытым исходным кодом. Киберпреступники утверждают, что выкрали 23 гигабайта конфиденциальных данных и пригрозили опубликовать их, если не получат выкуп.

На своём сайте в даркнете Akira заявила, что среди украденного — персональные данные сотрудников: адреса, номера телефонов, даты рождения, номера водительских удостоверений, СНИЛС и данные банковских карт.

Кроме того, злоумышленники якобы получили финансовые документы, внутреннюю переписку и отчёты о багах и проблемах разработки.

«Мы скоро выложим 23 ГБ корпоративных документов», — говорится в сообщении группы.

Если информация подтвердится, последствия могут быть серьёзными: похищенные данные будут использоваться для фишинговых атак и социальной инженерии против сотрудников Apache Software Foundation. При этом сам программный код OpenOffice, судя по всему, не пострадал — то есть пользователи офисного пакета не находятся под прямой угрозой.

Apache OpenOffice — один из старейших и наиболее популярных офисных пакетов с открытым кодом. Он поддерживает более 110 языков и работает на Windows, Linux и macOS. Продукт полностью бесплатен и развивается силами сообщества добровольцев под управлением Apache Software Foundation.

Из-за открытой модели финансирования проект страдает от дефицита ресурсов на кибербезопасность, что делает подобные атаки особенно опасными.

Akira действует с марта 2023 года и уже успела заработать десятки миллионов долларов за счёт выкупов. Группировка известна своей агрессивной тактикой двойного вымогательства — сначала она крадёт данные, а затем шифрует системы жертвы. Akira атакует как Windows, так и Linux/ESXi-системы, а в некоторых случаях даже взламывает веб-камеры для давления на пострадавших.

На момент публикации Apache Software Foundation не подтвердила и не опровергла факт взлома. Представители организации отказались от комментариев. Независимые специалисты пока не смогли подтвердить подлинность опубликованных фрагментов данных.

Напомним, весной мы писали, что специалист Йоханес Нугрохо выпустил бесплатный инструмент для расшифровки файлов, пострадавших от Linux-версии вымогателя Akira. Уникальность дешифратора заключается в использовании мощности графических процессоров (GPU) для восстановления ключей шифрования.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Платформа CICADA8 ETM теперь выявляет утечки кода и персональных данных
Новость
Платформа CICADA8 ETM теперь выявляет утечки кода и персонал...
56% компаний в 2025 году увеличили бюджеты на киберзащиту на 20-40%
Новость
56% компаний в 2025 году увеличили бюджеты на киберзащиту на...
Число сложных кибератак на компании в России увеличилось на 13%
Новость
Число сложных кибератак на компании в России увеличилось на...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.