Nel nostro progetto di applicazione web ci viene richiesto di stabilire l'autenticazione MF con combinazione di token segreto memorizzato (password) e token fuori limite. In precedenza avevamo in programma di implementare SMS per il meccanismo di consegna dei token. Ma la recente raccomandazione del NIST la inserisce nella categoria RESTRICTED, quindi al momento sembra rischioso per due motivi:
- Come nella categoria RESTRICTED, è necessario eseguire più attività di supporto (come l'analisi del rischio, metodi per la portabilità del numero di telefono, la modifica del dispositivo ecc.) per garantire la conformità con qualsiasi standard che adatta questo framework. Il NIST dice "L'uso della PSTN per la verifica fuori banda è RISERVATO come descritto in questa sezione e nella Sezione 5.2.10 ..."
- Anche se lo implementiamo con precauzioni, il NIST può contrassegnarlo come "vietato" in un prossimo futuro (lo hanno anche menzionato sulla carta). In tal caso, sarebbe necessario completare il cambiamento di metodo e implementazione. Che sicuramente causerà il ri-lavoro.
Quindi il mio problema ruota intorno a queste due domande:
- Che cosa può essere usato in alternativa?
- I token OOB generalmente dovrebbero funzionare su una banda diversa. Se usiamo qualcosa che funziona su browser come GAuth sarebbe OK? Nella prima impressione tutto (applicazione web e token di autenticazione) sembra funzionare sulla stessa banda.
Il token RSA è sicuramente una soluzione, ma non è fattibile per noi fornire token per migliaia di utenti.
Anche l'app Authenticator (TOTP) sembra essere una soluzione, ma è l'unica? E se lo è, che cosa dovrebbe essere curato per mantenere e giustificare la clausola OOB?
Fammi sapere se c'è qualche interpretazione diversa dei consigli NIST o di qualsiasi altro aspetto?