Коды аутентификации по СМС снова появляются в новостях, и слово, которое можно было бы использовать, чтобы резюмировать их повторное появление — «в боевой готовности».

Было время, когда двухфакторная аутентификация (2FA), сетки аутентификации, региональные блокировки, Yubikeys и автономные приложения аутентификации просто не существовали. А если их и использовали, то люди, сидящие рядом с вами, в автобусе или в вашем офисе, обычно ими не пользовались. Если вы подверглись фишингу, то все. Ваша учетная запись была удалена, если не был доступен простой процесс восстановления.

Затем постепенно стала применяться двухфакторная аутентификация. Восприятие по-прежнему невысокое, но это улучшение. Если вы сейчас подверглись фишингу, это (вероятно) не повредит вам, потому что злоумышленнику также нужен ваш код аутентификации. Если у них нет кода, они будут сидеть и печально смотреть на ваш пароль, а затем сдадутся.

 

Какой из двух факторов вы предпочитаете?

Есть предостережения относительно двух факторов, и это во многом зависит от того, о каком именно из них идет речь.

Большинство людей используют один из следующих типов:

СМС коды. Они отправляются на ваш мобильный телефон через вашего оператора. Код вводится на веб-сайт после того, как вы вводите пароль, и это в сочетании с кодом позволяет вам войти в систему. Коды обычно истекают через короткий промежуток времени, чтобы гарантировать, что много ценных кодов не валяются повсюду.

Приложения для аутентификации. Это приложения, которые генерируют коды через короткие промежутки времени и работают в автономном режиме. Вы оказались в месте, где нет сигнала? Это не имеет значения с приложением для аутентификации. Есть люди, которые меняли сложные пароли на очень простые, которые они могли запомнить, уезжая за границу, чтобы они могли пользоваться своими учетными записями. Это не очень хорошо, и это было обычное решение проблемы в те дни, когда приложения еще не стали общедоступными.

Из этих двух факторов приложение рекомендуется использовать как более безопасный вариант.

 

В чем проблема с СМС?

У вас украли пароль от вашего аккаунта. Вы все еще в безопасности. Они не могут войти без кода СМС. Вы все еще в безопасности. Злоумышленник решил связаться с вашим оператором сети. Вы все еще ... подождите, что? Они звонят в службу поддержки, притворяясь вами. У вас… возможно, здесь небольшие проблемы. Они утверждают, что потеряли ваш телефон, и может ли сеть перенаправить коды аутентификации на «заменяющее» устройство.

Вы обречены, извините.

 

Победа аутентикатора (в основном) гарантирована

С аутентификаторами никто в телефонной компании не может подвергнуться фишингу вне вашего контроля. Это сильно увеличивает шансы в вашу пользу. Однако не хочется произвести у вас неверное впечатление. Ничто не является пуленепробиваемым на 100%. Иногда приложения могут не справиться с самыми изобретательными схемами.

Из этих двух способов использование аутентификатора по-прежнему остается лучшим способом.

 

СМС-коды и рекламные объявления операторов связи

Разработчик SwirlWalls Крис Лейси написал в Твиттере, что столкнулся с странной ситуацией с СМС-кодом Google. А именно: код подтверждения Google пришел с прикрепленной рекламой VPN-сервиса. Вы даже можете «нажать, чтобы загрузить предварительный просмотр».

Первоначальная мысль была «Почему Google размещает рекламу по этим кодам»? Однако это было быстро прояснено. Google не несет за это ответственности. Виноват сетевой оператор.

 

Внесение сомнений в практику безопасности

Учтите, что мы говорим о кодах, предназначенных для усиления вашей безопасности, с любыми улучшениями, обеспечивающими конфиденциальность, которые это может принести. Цель игры — отступить в свое убежище и наблюдать, как атаки проходят безвредно.

Цель игры — не привязывать рекламу к текстам кода безопасности от носителей, способных прочитать все. В зависимости от используемых рекламных технологий вполне возможно сделать рекламу «релевантной» или ориентированной на содержание СМС. Интересно, что из всего того, о чем могла быть речь в рекламе, речь идет о VPN и защите от хакеров.

Это также открывает дискуссии о согласии, о том, кто является рекламной сетью, что происходит с вашими данными/сообщениями и каково ваше мнение по этому поводу. В худшем случае объявление ведет на мошенническую страницу или фишинговый сайт. Не может быть иного другого способа подорвать репутацию, используя коды СМС в качестве дополнительного уровня безопасности.

 

Продолжайте использовать коды, но подумайте о переходе в приложения

Итог: это плохая идея, она наверняка отвлечет людей от уже осажденных мер безопасности, и этого не должно происходить.

На данный момент приложения аутентификаторы доступны практически на всех мобильных платформах, и сейчас лучший момент, чтобы подумать о переходе. Это не очень хорошая вещь, чтобы увидеть происходящее, но, есть надежда, что Google, бросив взгляд на оператора связи «О, боже, что ты задумал», удержит других от копирования. Если вам случится увидеть рекламу, прикрепленную к вашим СМС-кодам, подумайте о том, чтобы вежливо связаться с некоторыми из многих специалистов службы безопасности Google в Твиттере.

 

Оригинал материала

16 июля, 2021