Amerykański rządowy instytut NIST (National Institute of Standards and Technology) opublikował wstępną wersję nowego dokumentu Digital Authentication Guideline, w którym pojawia się poważne ostrzeżenie przed wykorzystywaniem wiadomości SMS oraz sugestia rezygnacji z takiego uwierzytelniania. Na razie jest to wstępna wersja dokumentu (draft), który został opublikowany w celu wywołania dyskusji i zebrania opinii o możliwych, praktycznych rozwiązaniach problemów z bezpieczeństwem uwierzytelniania.

Obecnie wiele banków, ale także takie firmy jak Twitter, Facebook i Google, stosują hasła przesyłane w wiadomościach tekstowych SMS, jako dodatkową warstwę bezpieczeństwa chroniącą konta użytkowników przed nieuprawnionym dostępem. Żeby uzyskać dostęp do konta użytkownik musi nie tylko znać standardowe hasło, ale również wpisać jednorazowy kod z wiadomości SMS przesyłany na numer jego telefonu zarejestrowany w serwisie.

Zobacz również:

• Dzięki tej umowie polska policja zyska wiedzę i narzędzia zapobiegające cyfrowym zagrożeniom
• Koniec RCS na urządzeniach z nieoficjalnym systemem

W czasach gdy dostęp do sieci mobilnych oraz telefony i smartfony obsługujące SMS są powszechne, jest to względnie prosta i tania metoda dwuskładnikowego uwierzytelniania. Dlatego też zyskała masowe zastosowania i jest powszechnie wykorzystywana.

Niestety hakerzy opracowali sposoby umożliwiające oszukanie tego systemu.

Stosowane metody to m.in. zainfekowanie smartfona przez oprogramowanie, które w niezauważalnie dla użytkownika przekierowuje wiadomości SMS na inne urządzenie. A po zdobyciu danych osobistych, można też podszyć się pod użytkownika i zmienić numer telefonu na który są wysyłane SMS.

Analitycy z NIST uważają, że każde urządzenie podłączone do systemu świadczącego zautomatyzowane usługi obsługiwane przez oprogramowanie, jest podatne na włamania. W szczególności dotyczy to właśnie kodów przesyłanych w wiadomościach SMS.

Dlatego też w dokumencie umieszczono rekomendację, by do bezpiecznego uwierzytelniania stosować inne, lepsze metody. Mogą to być jednorazowe hasła, ale przesyłane nie przez SMS, ale generowane przez odpowiednio zabezpieczoną aplikację zainstalowaną w smartfonie. Tego typu rozwiązania są już dostępne na rynku, na przykład Google oferuje program Authenticator app.

Na razie nie wiadomo, jak na sugestię NIST zareagują firmy i banki. Ale wiadomo, że producenci rozwiązań bezpieczeństwa nie od dziś oferują wiele różnych rozwiązań pozwalających na lepsze niż przy wykorzystaniu SMS zabezpieczanie kont użytkowników i urządzeń.

„Sugestia NIST jest jak najbardziej uzasadniona. Ostatnio hakerzy opracowują coraz więcej nowych metod ataku na systemy wykorzystujące kody autoryzacyjne przesyłane w wiadomościach SMS” mówi Keith Graham, CTO w firmie SecureAuth.

Celem publikacji wstępnej wersji dokumentu NIST jest wywołanie dyskusji i zebranie opinii o przedstawionych w nim sugestiach dotyczących praktyk dwu-składnikowego uwierzytelniania, a także ewentualnych pomysłów na zapobieganie nadużyciom.