Наскільки надійна верифікація по СМС?

Якщо ви часто користуєтеся онлайн-послугами, то, напевно, вже стикалися з процесом двоетапної перевірки по SMS, в якій компанія чи додаток надсилає на ваш телефон одноразовий код, щоб підтвердити вашу особу, коли ви хочете отримати доступ до послуги або скинути пароль. Але чи замислювалися ви над тим, наскільки цей метод насправді безпечний?

Основи 2ФА SMS

Давайте трохи заглибимось у двофакторну автентифікацію 2ФА SMS. Цей тип перевірки просить користувачів спочатку увійти в систему за допомогою свого основного методу автентифікації, який зазвичай є ім’ям користувача. Далі система надсилає особі SMS-повідомлення з одноразовим паролем, щоб перевірити, чи вона є авторизованим користувачем. Користувач вводить пароль у запит, який теоретично перевіряє його особу та отримує доступ до програми. Ця система часто використовується для першого входу або для того, щоб допомогти користувачеві скинути свій пароль.

2ФА SMS перевірка популярна, тому що вона, перш за все, проста. Крім мобільного пристрою користувача, нічого не потрібно. Користувачеві не потрібно нічого завантажувати або використовувати фізичний апаратний зчитувач або фізичний токен - йому потрібен лише телефон із відповідною SIM-карткою.

Не дивно, що SMS став методом за замовчуванням для двофакторного входу у веб-додатки. Але чи варто довіряти цьому процесу?

Слабкі сторони SMS кодів

Безсумнівно, що використовувати 2ФА SMS краще, ніж покладатися лише на паролі - це факт. Проблема в тому, що зловмисники стають все більш хитрим, і 2ФА SMS, як і більшість автономних методів автентифікації - не є абсолютно безпечним.

Давайте розглянемо деякі ключові слабкі сторони 2ФА SMS:

Телефон можна вкрасти.

Звичайно, будь-який фізичний пристрій можна вкрасти, особливо якщо це те, що люди носять із собою цілий день. І, на жаль, ваше блокування за допомогою відбитків пальців, ймовірно, менш безпечне, ніж ви думаєте, тому воно може й не утримати злодія від проникнення.

Текстове повідомлення можна переглядати без авторизації.

Багато користувачів смартфонів користуються сповіщеннями про текстові повідомлення, тому будь-які отримані ними SMS-коди можна читати без розблокування телефону. Тому зловмисник може просто забрати ваш телефон або навіть просто подивитися через ваше плече, щоб викрасти код автентифікації.

Коди, відправлені по SMS можна перехопити.

Відомі випадки, коли хакери скористалися вразливістю в системі сигналізації 7 (SS7), міжнародному стандарті телекомунікацій, який визначає, як взаємодіють мобільні телефони, і перехоплювали текстові повідомлення ще до того, як вони навіть потрапили на пристрій користувача. Використання перехоплених SMS-кодів 2ФА дозволило їм отримати доступ до банківського рахунку жертви.

Тим часом програми на телефоні користувача можуть сигналізувати про ще одну вразливість. Деякі, наприклад, Google Messenger і Hangouts, мають доступ до вхідних повідомлень SMS на телефоні. Отже, якщо хакери отримали доступ до певних програм, вони також можуть отримати доступ до SMS повідомлень користувача та віддалено викрасти їх коди 2ФА.

Що робити, аби не стати жертвою хакерів?

Незважаючи на ці вразливі місця, багато організацій вирішують дотримуватися 2ФА SMS. Отже, важливо бути обережним. Для цього, слідуйте наступним правилам:

• Не надсилайте нікому текстові повідомлення про свої двофакторні коди автентифікації, навіть якщо запит видається безпечним.
• Ніколи не повідомляйте та не записуйте свої паролі.
• У програмах ніколи не вибирайте опцію "запам'ятати мене" або "зберегти мій пароль".
• Завжди використовуйте захищений комп’ютер із шифруванням HTTPS.
• Міняйте паролі кожні кілька місяців.

Більш безпечніваріантиавтентифікації

Розглядаючи можливість відмови від 2ФА SMS, ви можете вивчити інші способи автентифікації, які є більш безпечними та зручними.

Набагато кращою стратегією є багатофакторна автентифікація (БФА), яка значно зменшує ризики. Багатофакторна автентифікація, як зрозуміло з назви, передбачає використання декількох факторів для авторизації входу на платформу. 

В останні роки багато компаній досить широко використовують різні варіанти БФА. Наприклад, один з найбільших онлайн-покер-румів у світі, PokerStars, пропонує своїм користувачам різні заходи безпеки, такі як пароль, OTP на основі SMS, PIN-код та токен RSA. Іншим прикладом цієї тенденції є Facebook та його спроби покращити безпеку даних користувачів: для захисту облікових записів Facebook пропонує 2ФА, де користувачі можуть вибрати конкретну програму для автентифікації, текстове повідомлення (з певними обмеженнями щодо того, які телефонні номери можна використовувати), або ж ключ безпеки.

Для ситуацій, систем та користувачів з низьким ризиком немає необхідності в додатковій автентифікації. Але зі зростанням чинників ризику зростають і вимоги до автентифікації. В обох випадках методи автентифікації прості у використанні, забезпечуючи безперебійний досвід, коли користувачі навіть не усвідомлюють, що проходять три рівні автентифікації. В результаті організація користується більш високим рівнем безпеки, не завдаючи при цьому незручностей своїм користувачам. В той же час, у користувачів немає причин хвилюватися, що їхні дані потраплять у відкритий доступ.