Документ Диджитал Authentication Guideline (DAG) включает комплект требований, применяемых создателями ПО при разработке безопасных сервисов, и государственными организациями и личными фирмами для оценки безопасности собственных сервисов. Формированием этого необходимого управления занимается Государственный факультет стереотипов и технологий (NIST). В эти дни они произвели свежую грязную спецификацию.
В заключительной редакции специалисты NIST советуют фирмам удержаться от применения аутентификации на базе SMS-сообщений. В следующих вариантах DAG двухфакторная SMS-аутентификация даже вполне может быть осмотрена как опасная. Эксперты обосновывают своё решение тем, что безопасность СМС обрела свежие вызовы с внедрением VoIP-сервисов. Определенные такие сервисы дают возможность открыть SMS-систему. NIST советует создателям проверять применение VoIP-соединения перед тем, как использовать двухфакторную технологию на базе СМС.
SMS-протокол является опасным. На прошедшей неделе эксперты Context Information Security рекомендовали свежую атаку, которая применяет слабость SMS-протокола. С повышением числа подобных исследовательских работ область имеет всё больше доводов для отказа от SMS-аутентификации.