SMS-коды и приложения-аутентификаторы: что безопаснее?

Для большинства из нас это стало привычной рутиной. Вы собираетесь войти в онлайн-учетную запись на новом устройстве. Это может быть один из ваших профилей в социальных сетях, веб-сайт банка, ваша электронная почта или что-то еще. Вы вводите свой логин и пароль. Затем приложение предложит вам проверить ваш телефон на наличие PIN-кода службы коротких сообщений (SMS). Временный личный идентификационный номер помогает обеспечить дополнительный уровень безопасности, известный как двухфакторная аутентификация (2FA).

Но действительно ли это безопасно? Хотя SMS-коды обеспечивают определенную защиту, они по-прежнему уязвимы для определенных эксплойтов.

Проблема с СМС кодами

SMS-коды имеют несколько явных уязвимостей, что означает, что они не являются полностью надежной функцией безопасности.

Прежде всего, злоумышленники могут обойти эту опцию 2FA, выполнив атаку с заменой карты модуля идентификации абонента (SIM). Здесь хакер перехватывает доступ к вашему номеру телефона, обманывая оператора, заставляя его думать, что это вы. Тогда, если единственной недостающей частью их работы будет проверка их личности, будет легко получить SMS-код, доставленный на украденный номер телефона.

Кроме того, вредоносное ПО может использоваться для перехвата кодов 2FA SMS с целевых устройств, как было недавно задокументировано в отчете Check Point Research.

Хотя использование SMS-кодов, вероятно, предпочтительнее, чем использование 2FA для конфиденциальных учетных записей вообще, эти ключевые уязвимости демонстрируют, что эта функция не идеальна.

Преимущества приложений-аутентификаторов

После SMS-кодов приложения-аутентификаторы, вероятно, являются одной из самых популярных форм 2FA . Когда приложение установлено на доверенном устройстве, оно может сгенерировать код - или запрос - для проверки подлинности действий пользователя с нового устройства.

Часто эти приложения также сбрасывают временный пароль быстрее, чем можно было бы ожидать по SMS. Из-за этой структуры он не уязвим для атак с заменой SIM-карт, описанных выше.

Приложения Authenticator могут включать в себя специальные службы, такие как Authy или Google Authenticator. Кроме того, уведомление может быть отправлено через существующее приложение, такое как Gmail или Yahoo Sports, чтобы подтвердить новую попытку входа в вашу учетную запись Google или Yahoo.

Уязвимости приложения Authenticator

В то же время приложения-аутентификаторы, которые полагаются на генерацию кодов, могут быть уязвимы для определенных троянов, которые могут захватывать коды и передавать их внешним сторонам, как недавно сообщила ThreatFabric.

Другие альтернативы SMS-кодам

Помимо приложений для аутентификации и SMS-кодов, доступны и другие варианты аутентификации.

Подтверждение электронного адреса

Некоторые приложения позволяют использовать электронную почту в качестве метода двухфакторной аутентификации. В этом есть фактор удобства. Однако безопасность учетной записи электронной почты может значительно различаться от одного клиента к другому. Таким образом, иногда это может быть менее безопасно, чем использование кода SMS или других методов. Тем не менее электронная почта может обеспечить дополнительный уровень безопасности. Некоторые службы доставляют электронные письма о предоставлении доступа к новым устройствам, позволяя вам узнать, была ли ваша учетная запись взломана другими способами.

Биометрия

Распознавание отпечатков пальцев, голоса и лиц также может добавить новый уровень безопасности для ваших учетных записей. Однако, когда он не используется в сочетании с другими факторами, этим методом можно злоупотреблять.

Физические ключи

Многие из рассмотренных выше перехватов исчезают с использованием надежных физических ключей. Эти параметры оборудования могут быть вставлены в устройство для предоставления доступа и проверки разрешений. Конечно, при использовании этого метода возможны потеря или кража.