Эксперт: SMS – ненадежный вариант для двухфакторной аутентификации

Использование TOTP (алгоритм создания одноразовых паролей, используемый, например, в приложении Google Authenticator) или YubiKey (аппаратный ключ безопасности) намного безопасней, чем использование SMS-сообщений при двухфакторной аутентификации пользователя.

Об этом в комментарии журналисту InternetUA рассказал эксперт по криптографии, Senior Software Engineer компании Symantec Руслан Киянчук.

СМС не относится к факторам аутентификации

По словам эксперта, двухфакторная аутентификация подразумевает  использование двух разных факторов из трех – «то, что мы знаем» (пароль, который мы запомнили); «то, что мы есть» (биометрия); «то, что у нас есть» (аппаратный ключ/ТОТР). Код из SMS не принадлежит к фактору «то, что у нас есть», – это то, что передается другими каналами связи, и узнаем его как «то, что мы знаем».

– Если посмотреть на терминологию, которую использует Google, Facebook и другие крупные вендоры, то они не называют аутентификацию с помощью SMS «двухфакторной аутентификацией», они называют её «двухшаговая аутентификация»: часть секрета – это твой пароль, который ты запомнил, а вторая часть – то, что пришло в SMS, – объясняет Киянчук. – Почему я не отношу SMS ко второму фактору аутентификации? Фактор владения означает, что для того, чтобы им завладел кто-то другой, он должен подойти к тебе и отобрать его, но в случае с SMS это не так. Есть определенные типы атак, которые позволяют клонировать сим-карту, в некоторых странах у  оператора связи есть доступ к вашим SMS…  Не стоит забывать и о социальной инженерии – когда злоумышленник просто звонит оператору и обманом «возобновляет» вашу сим-карту на себя, начиная получать ваши SMS без вашего ведома.

Финансовым сервисам и "крупным мишеням" стоит задуматься

Эксперт объясняет: то, что многие компании, особенно финансовые, используют двухшаговую аутентификацию с помощью SMS, – лучше, чем ничего, но всё же вызывает опасения.

– Здесь мы наблюдаем конфликт между удобством использования и безопасностью. SMS – это очень удобно: ты просто вводишь свой номер телефона и получаешь, при необходимости, код аутентификации. Также при смене гаджета тебе достаточно вставить сим-карту в телефон и продолжить пользоваться сервисом. Однако с аутентификатором или криптографическим ключом всё сложнее: ты его можешь потерять, при смене устройства ты должен его перерегистрировать на  сервисе… Поэтому многие компании этого избегают, особенно финансовые компании и банки, у которых много пользователей старшего возраста, плохо разбирающихся в технологиях, – говорит эксперт по криптографии. –  Тем не менее, то, что они используют SMS – уже лучше, чем ничего. Это существенно усложняет злоумышленникам захват вашего аккаунта при утечке пароля или массовой атаке.

По словам Руслана Киянчука, ещё одна проблема состоит в том, что многие сервисы «в погоне за маркетингом» объявляют о наличии TOTP с целью заявить поддержку «двухфакторной аутентификации», но при этом обязательно требуют номер телефона, на который также можно прислать код, если нет TOTP.

Принцип двухфакторной аутентификация с помощью TOTP

– Если злоумышленник будет атаковать, что он будет делать? Конечно же, он даже не будет обращать внимания на TOTP и займется SMS. То есть, если на сервисе есть одновременно и SMS, и TOTP, последний можно просто «выбросить» – он будет неэффективным, ведь атакующий будет целиться в самое слабое звено, которым является SMS-аутентификация, – объясняет эксперт.

SMS как способ защиты аккаунта часто не является эффективным на практике при таргетированной атаке, направленной на конкретного пользователя, подчеркивает Руслан Киянчук.

– Пока что-то не измениться в индустрии, использование SMS для двухфакторной аутентификации будет на совести пользователя. Если он потенциально ценная цель для мошенников и есть риск таргетированной атаки, лучше искать сервис, позволяющий  аутентификацию с помощью, например, криптографического ключа, – рекомендует эксперт.