Google+
Журнал Плас Плас Журнал http://www.plusworld.ru/
ул. Кржижановского, д. 29, корп. 5 Москва, 117218 Россия
+7 495 961 1065 http://www.plusworld.ru/upload/templates/logo_plus_ru.png
RSS RSS RSS RSS

SMS-пароли признаны небезопасными в США: что говорят российские эксперты?

Спонсор рубрики

15:05, 27 Июля 2016 Количество просмотров 905 просмотров

Выводы NIST и российских специалистов в области безопасности схожи: механизм SMS OTP изначально для аутентификации не предназначался и не может считаться полноценным фактором аутентификации.

parola-dinamica-otp.jpgНациональный Институт стандартов и технологий США (The National Institute of Standards and Technology, NIST) представил предварительную версию будущего Digital Authentication Guideline (документа, который установит новые нормы и правила в отношении цифровых методов аутентификации). 

Согласно этому документу NIST использование SMS-сообщений для осуществления двухфакторной аутентификации в будущем поощряться не будет - пишет Xakep.ru. 

В частности, в документе содержится прямое указание на то, что использование SMS-сообщений для двухфакторной аутентификации может являться «недопустимым» и «небезопасным» (секция документа 5.1.3.2). 

Полностью данный параграф выглядит так: «Если верификация по внешнему каналу осуществляется посредством SMS-сообщения в публичной сети мобильной телефонной связи, верификатор должен убедиться, что используемый предварительно зарегистрированный телефонный номер действительно ассоциируется с мобильной сетью, а не с VoIP или иным программным сервисом. После возможна отправка SMS-сообщения на предварительно зарегистрированный телефонный номер. Изменение предварительно зарегистрированного телефонного номера не должно быть возможно без двухфакторной аутентификации в ходе изменения. Использование SMS-сообщений в аутентификации по внешнему каналу недопустимо, и не будет дозволяться в будущих версиях данного руководства». 

Основные опасения экспертов Национального института стандартов и технологий сводятся к тому, что номер телефона может быть привязан к VoIP-сервису, кроме того, злоумышленники могут попробовать убедить поставщика услуг в том, что номер телефона изменился, и подобные уловки нужно сделать невозможными. 

Хотя документ рекомендует производителям использовать в своих приложениях токены и криптографические идентификаторы, авторы поправок также отмечают, что смартфон или другое мобильное устройство всегда могут быть украдены, или могут временно находиться в руках другого человека" - говорится в документе NIST. 

Опасения и выводы NIST относительно небезопасности SMS OTP в полной мере разделяются и российскими специалистами. Так, Павел Есаков, зам. директора по продажам на финансовом рынке компании Computel так прокомментировал информационному порталу PLUSworld.ru выводы, содержащиеся в предварительной версии Digital Authentication Guideline: 

"Собственно, выводы и рекомендации специалистов NIST просто подтверждают тот факт, что с самого начала использования SMS для целей аутентификации эксперты предупреждали о том, что данный механизм изначально для аутентификации не предназначался и не может считаться полноценным фактором аутентификации. 

Механизмов компрометации SMS паролей существует достаточно много, и они уже были неоднократно использованы в основном для похищения денежных средств клиентов российских банков. Достаточно перечислить лишь несколько методов взлома SMS паролей: 

• Замена SIM карты с использованием поддельных документов 
• Использование уязвимостей в протоколе OSS-7 
• Переадресация вызовов у оператора мобильной связи 
• Ложные базовые станции 
• Специализированные троянские программы для смартфонов, перехватывающие SMS пароли 

Еще одним методом может считаться взлом шлюза между банком и оператором связи. 

То обстоятельство, что механизм SMS-паролей используется всеми банками, открывает для хакеров широкие перспективы. Очевидно, что написав один раз троян для смартфона, его можно использовать для атаки на все российские банки, при его (трояна) минимальной кастомизации. 

При этом можно предсказать, что первыми "под раздачу" будут попадать крупные банки – большая клиентская база последних позволяет мошенникам рассчитывать на весомый результат даже при небольших остатках на счетах клиентов. 

Справедливости ради, надо сказать, что наши банки уже начали борьбу с подменой SIM карт - перед отправкой SMS пароля проверяется IMSI клиента, и если он не совпадает с тем, что был зарегистрирован в базе данных банка, то отправка SMS пароля блокируется. 

Но у ряда операторов мобильной связи данная возможность отсутствует, и остается неясным, как поступать в этом случае, не говоря уже о том, что как будет работать этот механизм в роуминге - абсолютно неясно. 

Очевидно, что широкое использование SMS для целей аутентификации создает существенные риски, и регуляторы вынуждены принимать меры с тем, чтобы по возможности уменьшить масштабы бедствия".

Напомним, что журнал "ПЛАС" в 2014 г. подробно рассматривал риски SMS OTP в материале "Банковская отрасль на пороге выхода из «SMS-тупика»?" 

По материалам Xakep.ru, PLUSworld.ru


Как вам статья?
(Голосов: 3, Рейтинг: 5)

Комментарии (0):

Добавлять комментарии могут только зарегистрированные Пользователи




Новости по теме

15:34, 18 Июля 2016 Количество просмотров 1377 просмотров
Карты "Мир" получат технологию 3D Secure 2.0, не зависящую от Visa
НСПК намерена до конца 2016 года начать тестировать транзакции по картам "Мир" с использованием нового поколения стандарта безопасной электронной коммерции 3D Secure 2.0, которая принадлежит международной компании EMVCo, сообщил РИА Новости глава НСПК Владимир Комлев.
12:31, 28 Июня 2016 Количество просмотров 750 просмотров
ВТБ24 выбрал защищенное мобильное приложение компании Gemalto
Компания Gemalto начала поставлять для банка ВТБ24 решение Ezio Mobile Protector – защищённое мобильное приложение, позволяющее формировать одноразовые коды (One Time Passwords, OTPs) для подтверждения операций в каналах удаленного банковского обслуживания через удобное приложение для смартфонов.
10:03, 10 Декабря 2013 Количество просмотров 1014 просмотров
R-Style Softlab представляет InterBank Mobile — мобильное приложение для юридических лиц
Компания R-Style Softlab представляет новый продукт в линейке InterBank – InterBank Mobile, предназначенный для реализации полнофункционального мобильного банковского сервиса для юридических лиц на платформах Android и iOS.


00:31, 27.06.2016 Количество просмотров 806 просмотров
Британские банки продолжают работать без сбоев
Никаких сбоев в предоставлении банковских услуг не предвидится, несмотря на потрясения на рынке, вызванные итогами референдума в Великобритании. Об этом заявили в Британской ассоциации банкиров (British Bankers Association, BBA).
13:35, 06.06.2016 Количество просмотров 1387 просмотров
Депутаты одобрили открытие банковского счета юрлицом без присутствия его представителя
Комитет Госдумы по финансовым рынкам рекомендовал принять во втором и третьем чтениях законопроект, позволяющий компаниям открывать счета в банке без личного присутствия представителя.
13:41, 03.06.2016 Количество просмотров 1126 просмотров
BS&S о том, как вернуться к цивилизованному сервисному рынку
О том, как развивается сегодня рынок сервиса устройств банковского самообслуживания и какие решения востребованы на нем в условиях «но- вой экономической реальности», журнал «ПЛАС» беседует с Натальей Косаревой, президентом группы компаний BS&S. Итоги – в июньском номере журнала.

обновить

а вы знаете, что...

… папуасы Новой Гвинеи изобрели собственную ракушечную «валюту» тамбу, которой пользуются до сих пор? Эти деньги изготавливают из раковин моллюска аркуллярия каллоза. Красивые ракушки очищают, отбеливают, просверливают и нанизывают на шнуры. В таком виде они и являются «тамбу», что на языке папуасов означает «деньги», «богатство».