"Так безопасно?" №9: СМС - хороший второй фактор для двухфакторной аутентификации?
Краткий ответ - нет. Достойная их замена приложения аутентификации или пуш-уведомления.
Объясняем почему.
1. Вашу SIM-карту возможно угнать. Чаще всего подделывают доверенность и перевыпускают в салоне сотовой связи. Реже, идут в сговор с сотрудником салона, но и такое бывало.
Операторы стараются минимизировать подобный риск, но все равно случаи происходят. Буквально несколько дней назад Твиттер аккаунт Виталика Бутерина, создателя Ethereum, был захвачен именно таким образом. В России операторы связи на одни сутки после перевыпуска блокируют:
- прием смс от банков
- прием смс от Госуслуг
- исходящие смс по финансовым сервисам.
Но все остальные смс начинают работать в момент активации SIM-карты.
2. СМС возможно перехватить. Такие случаи также бывали, но это требует уже более технической атаки на уровне протокола SS7 операторов связи. Но если все сделать правильно, смс просто придет на вышку сотовой связи, находящейся под контролем злоумышленников, а не к вам на телефон.
Альтернативы:
1. Пуш-уведомления приложений. Они передаются по защищенному каналу связи через сервера Google/Apple. Они привязаны к конкретной установке конкретного приложения.
2. Приложения аутентификаторы. Они работают оффлайн никуда ничего не передают, просто однократно синхронизируются с сервером и генерируют каждый промежуток времени новый одноразовый и безопасный пароль.
Но, к сожалению, еще далеко не все сервисы позволяют работать без смс, и все равно при захвате SIM-карты возможно сбросить все остальные слои зашиты.
Как минимизировать риски, при использовании СМС как второго фактора?
1. Отследить перевыпуск SIM-карты можно по деактивации вашей SIM-карты. Две одновременно работать не могут. В таком случае с любого другого телефона стоит срочно позвонить оператору и заблокировать новую SIM-карту.
2. Поставить любые уведомления о входе в аккаунты, но не по СМС.
3. Использовать отдельный номер телефона под особенно важные аккаунты. В идеале, оформленный на ближайшего родственника, тогда о нем будет сложнее догадаться даже с помощью "пробива" или утечки.
#3side_так_безопасно
Краткий ответ - нет. Достойная их замена приложения аутентификации или пуш-уведомления.
Объясняем почему.
1. Вашу SIM-карту возможно угнать. Чаще всего подделывают доверенность и перевыпускают в салоне сотовой связи. Реже, идут в сговор с сотрудником салона, но и такое бывало.
Операторы стараются минимизировать подобный риск, но все равно случаи происходят. Буквально несколько дней назад Твиттер аккаунт Виталика Бутерина, создателя Ethereum, был захвачен именно таким образом. В России операторы связи на одни сутки после перевыпуска блокируют:
- прием смс от банков
- прием смс от Госуслуг
- исходящие смс по финансовым сервисам.
Но все остальные смс начинают работать в момент активации SIM-карты.
2. СМС возможно перехватить. Такие случаи также бывали, но это требует уже более технической атаки на уровне протокола SS7 операторов связи. Но если все сделать правильно, смс просто придет на вышку сотовой связи, находящейся под контролем злоумышленников, а не к вам на телефон.
Альтернативы:
1. Пуш-уведомления приложений. Они передаются по защищенному каналу связи через сервера Google/Apple. Они привязаны к конкретной установке конкретного приложения.
2. Приложения аутентификаторы. Они работают оффлайн никуда ничего не передают, просто однократно синхронизируются с сервером и генерируют каждый промежуток времени новый одноразовый и безопасный пароль.
Но, к сожалению, еще далеко не все сервисы позволяют работать без смс, и все равно при захвате SIM-карты возможно сбросить все остальные слои зашиты.
Как минимизировать риски, при использовании СМС как второго фактора?
1. Отследить перевыпуск SIM-карты можно по деактивации вашей SIM-карты. Две одновременно работать не могут. В таком случае с любого другого телефона стоит срочно позвонить оператору и заблокировать новую SIM-карту.
2. Поставить любые уведомления о входе в аккаунты, но не по СМС.
3. Использовать отдельный номер телефона под особенно важные аккаунты. В идеале, оформленный на ближайшего родственника, тогда о нем будет сложнее догадаться даже с помощью "пробива" или утечки.
#3side_так_безопасно