tashka2000 - Fotolia
Le Nist déconseille le SMS pour l’authentification à double-facteur
L’organisme de standardisation américain estime que ce mécanisme est désormais obsolète.
L’envoi de codes à usage unique pour assurer une authentification en ligne à facteurs multiples est largement répandu. Google le propose ainsi pour ses services en ligne. Techniquement, de nombreuses banques ne font pas autre chose lorsqu’il s’agit de valider certains ordres de virement. Mais pour le Nist, l’organisme américain en charge des standards et des technologies, cette méthode d’authentification est désormais obsolète.
Dans son projet de recommandations pour l’authentification numérique, l’organisme se penche sur les mécanismes de vérification d’identité hors bande, s’appuyant sur un second canal de communication. Et pour le Nist, ce second canal « devrait être authentifié et protégé ». Qui plus est, « les vérificateurs hors bande devraient générer un secret d’authentification aléatoire avec au moins 20 bits d’entropie, en utilisant un générateur de nombres aléatoires approuvé ».
Alors, pour l’heure, le Nist accepte encore que le SMS soit utilisé comme canal de transmission du mot de passe à usage unique (OTP). Mais il convient de vérifier que le numéro de téléphone visé correspond bien à un téléphone mobile physique, et qu’il n’est pas associé à un service de ToIP. Et pour changer de numéro, il convient d’utiliser l’authentification à double facteur.
Mais pour le Nist, le SMS est « obsolète » et l’organisme indique qu’il « ne sera plus autorisé dans les futures versions de ces recommandations ».
En lieu et place du SMS, plusieurs solutions peuvent être envisagées, à commencer par le recours à des applications pour smartphone. Pour mémoire, Apple intègre déjà un mécanisme de ce type à iOS en proposant d’envoyer les codes OTP sur des terminaux mobiles à sa marque. A ma manière, Google propose également une alternative, avec son service Authentificator, supporté par plusieurs applications mobiles et pouvant être intégré dans des applications. Une extension Wordpress est notamment disponible. Au-delà, le Nist évoque également les dispositifs physiques d’authentification OTP à facteurs simple et multiples.
Le projet de recommandations de l’organisme est actuellement ouvert aux commentaires sur le site Web Github.