L'administration de la sécurité sociale adopte ce que le NIST déconseille

Au 10 juin 2017, les utilisateurs du site Web de l'Administration de la sécurité sociale (SSA) devront utiliser l'authentification à deux facteurs (2FA) pour accéder. Potentiellement, cela pourrait affecter un grand nombre d'adultes américains, qui devront entrer leur mot de passe et un code distinct envoyé par SMS ou par courrier électronique.

Ce qui est surprenant, c'est que, en juillet 2016, le NIST a refusé le service 2FA basé sur le SMS dans la publication spéciale 800-63B: Ébauche des directives sur l'identité numérique. Il convient de noter qu'il s'agit encore d'un projet de loi, et pas encore d'une norme formelle que les organismes gouvernementaux doivent respecter; Mais néanmoins, il dit spécifiquement: "OOB [2FA] utilisant SMS est obsolète et peut ne plus être autorisé dans les versions futures de cette directive". Il semble donc étrange que l'Afrique subsaharienne introduise précisément ce que le NIST déprécie.

Le NIST a choisi de dénoncer les SMS car il est vicié, et pas seulement parce qu'il existe des alternatives plus fortes. La publication 800-63B souligne: "En raison du risque que les messages SMS soient interceptés ou redirigés, les implémenteurs de nouveaux systèmes DEVRAIENT examiner attentivement les authentificateurs alternatifs" (section 5.1.3.2). Ce n'est pas un risque hypothétique. Le journal allemand Suddeutsche Zeitung a signalé le 3 mai 2017 que les criminels avaient compté sur les attaques du Système de signalisation n ° 7 (SS7) pour contourner les systèmes d'authentification à deux facteurs et effectuer des transferts sans autorisation.

SS7 est un protocole de téléphonie mobile sous-jacent profondément ancré dans le système mondial de téléphonie mobile. Il a été développé en …

Lire la suite (en anglais)

Note : Cet article est extrait et traduit automatiquement de flux RSS provenant de différents sites. Etant donné que ce sont des traductions automatiques, la qualité peut aller de l’acceptable au pire. Ces publications automatiques me servent à collecter suffisamment de données pour mes expérimentations avec le Deep Learning et le Framework TensorFlow.

N'oubliez pas de voter pour cet article !
1 étoile2 étoiles3 étoiles4 étoiles5 étoiles (Pas encore de votes)
Loading...

Vous aimerez aussi...

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Aller à la barre d’outils