Продолжаем разговор про 2FA.
Наиболее распространённым видом второго фактора аутентификации являются SMS-сообщения и Push-сообщения. Думаю, все сталкивались с этим, когда входили в банковские аккаунты или подтверждали платёж банковской картой на сайте. В сообщенbи вам приходит цифровой код, и вы его вводите в соответствующей форме. То самое "не сообщайте этот код никому". К слову, в случае оплаты картой первым фактором являются её реквизиты.
Это удобно, потому что мобильный телефон сейчас есть, наверное, у всех (даже у кого нет смартфона, есть "звонилка"), он всегда под рукой, а от пользователя не требуется никакой дополнительной подготовки для использования этого метода. SMS получил, код ввёл — готово. Но на этом достоинства заканчиваются.
❌ Недостатки у 2FA через SMS следующие:
Необходимость предоставлять свой номер телефона
Это сразу ставит крест на любой анонимности. Кроме того, даже там, где анонимность не подразумевается по логике сервиса (например, банки), засвечивание своего номера телефона — это прямой путь к дополнительным рекламным, спамерским и мошенническим звонкам.
Сообщения приходят на смартфон
Т.е. данные второго фактора приходят на то же устройство, с которого вы осуществляете вход в ваши учётные записи (почта, соцсети, банковские приложения). И в случае заражения смартфона вредоносным программным обеспечением злоумышленники в теории могут получить из одной точки доступ как к вашим паролям, так и ко второму фактору аутентификации. Тем самым вся идея 2FA просто сводится на нет.
Использовать для приёма SMS отдельную кнопочную "звонилку" может показаться хорошей идеей, но в ряде случаев это создаст серьёзные неудобства, и большинство пользователей этого ожидаемо делать не будут. Кроме того, даже кнопочный телефон не снимает проблему номер три 👇
Для доставки сообщений используется SIM-карта
Многие, наверное, слышали истории о том, как SIM-карту перевыпускают без ведома владельца. И уж поверьте, это делается не для того, чтобы поговорить за ваш счёт. Обладая дубликатом вашей SIM-карты (ваш телефон при этом сеть потеряет), злоумышленник получает естественную возможность принимать SMS с кодами подтверждения, направляемые на ваш номер телефона. Таким образом ваш второй фактор могут заполучить, даже если ваш телефон при вас.
📌 Но несмотря на то, что 2FA через SMS видится самым ненадёжным видом второго фактора, даже его использование серьёзно улучшает безопасность вашего аккаунта. Если нет возможности использовать другие виды 2FA, используйте SMS.
Продолжение следует.
================
Полная версия блога "Цифровой чай" – в Telegram. Подписывайтесь.