Le SMS en tant qu'identifiant sera-t-il bientôt dépassé ?
Dans le dernier projet de sa directive sur l'authentification, l'Institut national américain pour les normes et la technologie considère que l'utilisation de SMS comme identification supplémentaire n'est pas sûre. Des alternatives font leur apparition sur le marché.
Pour des raisons de sécurité, les personnes qui effectuent leurs opérations financières via le guichet bancaire virtuel de leur ordinateur doivent "s'identifier" plusieurs fois lors de la connexion. Comme identification supplémentaire, on utilise toujours assidûment le Short Message Service (SMS). Mais pas seulement pour l'e-banking : le SMS est également utilisé pour d'autres applications contenant des données sensibles. Mais selon Martin Fabini de l'entreprise IT ti&m les inconvénients de cette identification sont évidents. Fabini le justifie à l'aide de la "liste de défauts" suivante : Le réseau mobile en tant que canal de transmission n'est pas sûr et le cryptage est insuffisant - il est au niveau de l'année 1999. De plus, une saisie par l'utilisateur du code SMS pour la reconfirmation, sujette à des erreurs, ouvre la porte à une compromission de la procédure.
Pour Fabini, il est clair que l'industrie doit Recommandations du National Institute for Standards and Technology américain ne sera pas respectée. Son entreprise informatique s'attend donc à ce que la procédure SMS perde massivement de son importance en tant que deuxième identification.
Sécurisé La biométrie vocale comme alternative
Comme alternative, les experts du fournisseur plaident donc pour une procédure qui résout ces points faibles en scannant un code QR et en renvoyant ensuite le jeton de manière hautement cryptée et automatique. De plus, le matériel de clé local sur l'appareil mobile est sécurisé par un PIN ou une empreinte digitale. Mieux encore : l'accès au matériel clé peut désormais être sécurisé par la "biométrie vocale". Tout comme l'empreinte digitale ou l'iris de l'œil, la voix de chaque personne est unique. Mais le grand avantage de la "Voice" par rapport aux autres procédés biométriques est qu'il n'est pas nécessaire de disposer d'un terminal avec un scanner d'empreintes digitales ou une caméra pour s'identifier, écrit ti&m. De plus, dans le cas de l'e-banking, le processus d'identification de la voix a lieu à la banque et non chez le client. Incontestablement, cela réduit les possibilités de manipulation. (rs)
Pour plus d'informations : https://9to5mac.com/2016/07/26/sms-too-insecure-for-2fa/
