Komfort über Sicherheit ist oft nicht die beste Richtlinie
Jetzt sagt NIST, dass die SMS-Authentifizierung ein "No-Go" ist.
Passwort vergessen? Kein Problem, klicken Sie einfach auf "Passwort zurücksetzen", um einen einmaligen Code zu erhalten, der per SMS an Ihr registriertes Mobiltelefon gesendet wird. Von dort aus können Sie ein neues Passwort erstellen, um auf Ihr Konto zuzugreifen.
Preiswert und bequem? Absolut!
Sichern? Könnte sein.
Nun, für Bundesbehörden macht „vielleicht“ nicht die Note, wenn es um Sicherheit und Sicherheit geht Nationales Institut für Standards und Technologie hat in der DRAFT NIST-Sonderpublikation 800-63-B „Digital Authentication Guideline“ angegeben. Die Position von NIST unterstützt das, was sowohl Sicherheitsexperten als auch Hacker seit Jahren wissen: SMS ist unsicher und eignet sich nicht mehr als starker Authentifizierungsmechanismus.
Warum? SMS-Nachrichten sind nicht vor falschen Augen geschützt, und es gibt keine Garantie dafür, dass sie tatsächlich an den vorgesehenen Empfänger gesendet werden.
Obwohl die Anforderungen von NIST für Bundesbehörden gelten, ist die Industrie in Wirklichkeit traditionell diesem Beispiel gefolgt. Das Gesundheitswesen ist keine Ausnahme. Seit 2010 setzen Gesundheitsorganisationen elektronische Geräte ein Verschreibung von EPCS-Lösungen (Controlled Substance) mussten die in der Sonderpublikation 800-63 festgelegten Anforderungen an die Identitätsprüfung und die Zwei-Faktor-Authentifizierung von NIST erfüllen.
Außerhalb von EPCS haben Gesundheitsorganisationen in der Regel kostengünstige und bequeme Authentifizierungslösungen bereitgestellt. Zu oft verlassen sich Gesundheitsorganisationen auf statische Passwörter, um ihre eigenen Vermögenswerte und Gesundheitsinformationen zu schützen.
Mit einem falschen Sicherheitsgefühl haben viele Gesundheitsorganisationen SMS-Benachrichtigungen bereitgestellt, weil sie der Meinung sind, dass sie die Sicherheit erheblich erhöht haben, obwohl dies in Wirklichkeit nicht der Fall ist. SMS-Händler ohne geeignete Alternativen sprachen mit verschiedenen Schlagworten wie "Out-of-Band" - und "Step-up" -Authentifizierung, aber die Realität ist jetzt, dass SMS nicht wie einige als sicherer "zweiter Faktor" geliefert wird kann behauptet haben; Angriffe gegen SMS sind nicht mehr theoretisch, sondern weit verbreitet.
Bund und Gesundheitsorganisationen haben eines gemeinsam: Beide werden in einem nie endenden Cyberkrieg ständig angegriffen. Google "Verletzung des Gesundheitswesens" und es ist leicht zu erkennen, dass das Gesundheitswesen verliert. Die gesamte Branche, von großen Zahlern über große und kleine Krankenhäuser bis hin zu Einzelarztpraxen, wird ständig angegriffen und hat viel zu viele Opfer zu beklagen.
Es ist wichtig, dass die Gesundheitsorganisationen die Empfehlungsentwürfe des NIST berücksichtigen. Das Verlassen auf veraltete Sicherheitspraktiken macht sie nur zu einfachen Zielen. Fügen Sie der Liste, die von statischen Passwörtern dominiert wurde, SMS hinzu. In Anbetracht des NIST-Empfehlungsentwurfs wurde der jüngste Ankündigung der Sozialversicherungsbehörde, dass jetzt eine Zwei-Faktor-Authentifizierung per SMS erforderlich ist hätte nicht schlechter sein können und brachte mich zum Lachen. Es ist klar, dass die Kommunikation zwischen den Agenturen in Washington stark fehlt. Vielleicht werden Donald oder Hillary das ansprechen?
Es gibt so viele erschwingliche Optionen, die Sicherheit mit Benutzerfreundlichkeit in Einklang bringen, dass die Gesundheitssysteme Maßnahmen ergreifen und Passwörter und SMS entfernen müssen, um die vertraulichen, geschützten Gesundheitsinformationen zu schützen, die sie speichern und auf die sie zugreifen.
Weitere Informationen zu VASCO-Sicherheitslösungen für das Gesundheitswesen finden Sie unter https://www.onespan.com/solutions
