En nuestro proyecto de aplicación web estamos obligados a establecer la autenticación MF con una combinación de token secreto (contraseña) memorizado y token Out of Bound. Anteriormente, estábamos planeando implementar SMS para el mecanismo de entrega de token. Pero la recomendación reciente de NIST lo coloca en la categoría RESTRINGIDA, por lo que parece arriesgado en este momento por dos razones:
- Como se encuentra en la categoría RESTRINGIDO, se deben realizar múltiples actividades de soporte (como análisis de riesgos, métodos para situaciones como la portabilidad del número de teléfono, cambio de dispositivo, etc.) para cumplir con éxito con cualquier estándar que adapte este marco. El NIST dice "El uso de la PSTN para la verificación fuera de banda está RESTRINGIDO como se describe en esta sección y en la Sección 5.2.10 ..."
- Incluso si lo implementamos con precauciones, NIST puede marcarlo como "prohibido" en un futuro cercano (también lo han mencionado en papel). Entonces, en ese caso, se requeriría un cambio completo en el método y la implementación. Lo que definitivamente causará re-trabajo.
Así que mi problema gira en torno a estas dos preguntas:
- ¿Qué se puede usar como alternativa?
- El token OOB generalmente se supone que funciona en una banda diferente. Si utilizamos algo que funciona en un navegador web como GAuth, ¿estaría bien? En la primera impresión, todo (la aplicación web y la aplicación de token de autenticación) parece estar funcionando en la misma banda.
El token RSA es definitivamente una solución, pero no es posible para nosotros proporcionar token a miles de usuarios.
La aplicación de autenticación (TOTP) también parece ser una solución, pero ¿es la única? Y si es así, ¿qué se debe cuidar para mantener y justificar la cláusula OOB?
Por favor, avíseme si hay alguna interpretación diferente de las recomendaciones del NIST o algún otro aspecto?