המכון הלאומי לדרישות כמו גם חדשנות (NIST) עומד לסגור את הדלת על השימוש במערכת הקצרה של שירות (SMS) כ- טכניקת אימות משנית לשירותים וכן אפליקציות המעוניינות להגדיר אימות דו-גורמי.
NIST הייתה קשה בעבודה בבחינת הנחיות האימות הדיגיטליות שלה, המהווה מאמר משמעותי המתווה למעשה את המדיניות שעליהם יוצרי יישום תוכנת אימות, כמו גם עשתה את הצעד לפחת את השימוש ב- SMS כטכניקה של אספקת רמת בטיחות משנית כנגד חשבון. נראה שזו האמונה של NIST כי הפצת חומר באמצעות הודעת טקסט כבר לא יכולה להיות מסווגת כבטוחה מספיק.
חברות כמו גם ספקי שירות המציעים אימות דו-גורמי כקביעה חזקה הרבה יותר של בטיחות כנגד חשבון, ניצלו זמן רב בהודעות טקסט של SMS כשיטה להגדרת האבטחה הנוספת הזו. הרבה יותר נפוץ מאשר לא, זה נחשב לאפשרות בסיסית להוסיף עוד שכבה אחת של בטיחות על גבי סיסמא יסודית, עם כמה מהעסקים הגדולים בעולם כמו אפל כמו גם גוגל שמיישמת אותה, יחד עם זה אפשרויות משלו כמו היכולת לאשר את הגישה לגישה עם “מכשיר מהימן” משני או באמצעות דוא”ל.
ההנחיות החדשות מונעות באופן מוחלט את השימוש ב- SMS כ”אימות מחוץ ללהקה “, המציין בדרך כלל לעסקים להיות מיואש מלהשתמש בהודעות טקסט כמצביע על מתן קודי שימוש חד פעמיים לאימות דו-גורמי:
אם יש לבצע אימות מחוץ ללהקה תוך שימוש בהודעת SMS ברשת טלפונים ניידת ציבורית, האמת יאשר שמספר הטלפון שנרשם מראש המשתמש באמת קשור לרשת סלולרית כמו גם לא עם VoIP (או שירות אחר מבוסס תוכנה). לאחר מכן היא שולחת את הודעת ה- SMS למספר הטלפון שנרשם מראש. שינוי מספר הטלפון שנרשם מראש לא יתאפשר ללא אימות דו-גורמי בזמן השינוי. ה- OOB המשתמש ב- SMS מיושם, כמו גם לא יופעל עוד במהדורות עתידיות של הנחיה זו.
ההנחיות החדשות עשויות להיות משמעותיות בשינויים כמו גם בהמלצות, כפי שהייתם מצפים ממאמר מסוג זה, אולם נראה כי יש דגש בסיסי על הבטחת חומר שכבר לא יישלח באמצעות טכניקות שעשויות להיחשב כדי להיות חסרי ביטחון, כגון הודעת טקסט או אפילו שירותי VoIP, שכבר אומתו הם פשוטים למדי להתפשר.
זה יהיה מרתק מאוד לראות בדיוק כיצד העסק מגיב, כמו גם ליישם, את ההנחיות החדשות בעתיד.
(מקור: NIST, דרך: TechCrunch)
כמו כן, אתה יכול גם לבדוק את החוצה:
Jailbreak iOS 9.3.3, 9.3.2, הרבה יותר עם פאנגו באייפון כמו גם ב- iPad [עודכן]
אפשר אימות דו-גורמי במזהה אפל / iCloud, הנה איך
כיצד לאפשר אימות דו-שלבי עבור Apple ID / iTunes / iCloud
אתה יכול לעמוד בנו בטוויטר, להוסיף אותנו למעגל שלך ב- Google+ או לאהוב את עמוד הפייסבוק שלנו כדי לעדכן את עצמך על כל הזרם ממיקרוסופט, גוגל, אפל כמו גם באינטרנט.