23 июня 2017

SMS с кодами подтверждения не защищают аккаунт пользователя


Многие сайты, Интернет магазины и даже банки предлагают защитить пароль пользователя с помощью кодов подтверждения по SMS. Однако, на самом деле это полная профанация безопасности и практически любой, сможет эту защиту обойти. 

О том, что SMS сообщения с кодами подтверждения не способны защитить аккаунт пользователя говорилось уже много лет. Это связано с тем, что SMS сообщения с кодами подтверждения злоумышленнику слишком легко перехватить, используя недорогое оборудование, которое можно свободно купить на eBay. Тем не менее, многие доверчивые пользователи продолжают использовать SMS в качестве защиты своего пароля даже при пользовании Интернет банком, напрасно подвергая риску свои накопления.

И вот, наконец, вышла официальная рекомендация NIST SP 800-63-3 от ведущей организации по стандартизации в данном вопросе, которая явно исключает SMS сообщения с одноразовыми кодами подтверждения из перечня возможных средств защиты аккаунта пользователя. С этого момента, все аккаунты, использующие в качестве средств защиты только логин и пароль плюс SMS с кодами подтверждения, считаются официально не защищёнными и не могут использоваться для работы с служебными и конфиденциальными данными государственных органов, а также при наличии законодательных требований по защите персональных данных в коммерческих организациях, в т.ч. в банках.

Если вы всё ещё используете для защиты вашего аккаунта, например в банке, SMS с кодами подтверждения, то обратитесь в службу поддержки банка, чтобы узнать, какие аппаратные средства защиты они предлагают клиентам для защиты сервиса Интернет банка. В основном в российских банках для клиентов физических лиц используют аппаратные брелки с OTP токенами, а для юридических лиц смарткарты или USB токены для защиты клиент банка, но могут быть и вариации.


Если вы используете SMS с кодами подтверждения для защиты аккаунтов в социальных сетях, то рекомендую немедленно перейти на защиту с помощью аппаратных ключей стандарта FIDO U2F, с которым совместимы Google+, Facebook и прочие самые массовые сервисы.

Многие считают, что они такие "белые и пушистые" или "совсем не миллионеры" и потому никому их аккаунты не нужны, поэтому с ними ничего плохого случиться не может. К сожалению, это не так, ведь злоумышленники взламывают всё подряд и даже если у вас пропадёт два рубля или все ваши посты за пару лет, вам будет их жалко. Хотите увидеть, как это бывает на практике? Зайдите на форум поддержки Google+ или Facebook и наберите в поиске слова: "как восстановить аккаунт". Предупреждаю, что там вас ждёт очень много слёз от тех, кто тоже думал, что они никому не нужны.

В общем, лучше потратить один час на покупку и настройку ключа FIDO U2F сегодня, чем плакать о том, что "всё пропало" завтра.
Отправить комментарий