To musiało się prędzej, czy później stać – aż dziw, że dopiero teraz. Amerykański Narodowy Instytut Standardów i Technologii (National Institute for Standards and Technologies, NIST), takie tamtejsze Polskie Normy ;), zapowiedział, że w kolejnej wersji zaleceń dotyczących cyfrowej autoryzacji nie będzie już zalecał tokenów SMS.
Oczywiście zalecenia NIST nijak się mają do formalnych zobowiązań, tym niemniej sygnał z tak istotnego ciała może i powinien wywołać ruch na rynku. W miejsce wiadomości tekstowych zalecane są aplikacje mobilne lub fizyczne tokeny i nie sposób nie przyklasnąć takiej propozycji. Klasyczna zasada mówi, że na autoryzację powinny się składać:
coś, co wiesz (czyli hasło)
coś, co masz (czyli drugi czynnik)
I tu akurat SMS nie do końca pasuje. Bo mamy telefon, SMS jest tylko jedną z aktywności na nim. Aktywnością, którą – co wielokrotnie udowadniali cyber-przestępcy – stosunkowo łatwo przejąć bez wiedzy ofiary. Przejęcie telefonu na którym mamy aplikację generującą kody, już nie jest takie łatwe, a zniknięcie sprzętowego tokena też w miarę wcześnie możemy dojrzeć.
Korzystacie z SMSów autoryzacyjnych? Ja o ile pamiętam tylko w dwóch miejscach, tam gdzie nie da się uruchomić innego 2FA – dla potwierdzania przelewów i przy logowaniu na giełdę BTC. Więcej grzechów nie pamiętam,
