Почему опасны СМС

Jake Pause Чт, 06 Октябрь 2016 IT, Технологии Оставьте комментарий 552 Просмотры

Почему опасны СМС

Отправка СМС несет большие риски для безопасности. В тоже время, это один из самых распространенных способов аутентификации и самый простой с точки зрения пользователей.

Ежегодно с использованием троянов-перехватчиков СМС из российских банков похищают 50 млн рублей. Опасен не процесс формирования кода, а СМС-канал для его доставки. На сегодняшний день существует множество троянских программ, которые перехватывают СМС и отправляют их злоумышленникам. Также можно перевыпустить SIM-карту с нужным номером по поддельному паспорту и за пару часов снять все деньги со счета жертвы.

Если работать с онлайн-банкингом с потенциально зараженного смартфона, то в СМС смысла мало. Генерировать пароли на стороне пользователя безопаснее – их гораздо сложнее перехватить

Считается, что генераторы одноразовых паролей (TOTP — Time-based One-time Password Algorithm) с дополнительной криптографической защитой – более безопасный способ аутентификации. Такие сервисы реализованы и российскими, и зарубежными разработчиками в рамках требований стандарта IETF (Internet Engineering Task Force).

TOTP – это приложение, которое сопрягается с определенным сайтом (банка, электронной почты и т.п.) и генерирует одноразовые пароли. Действие каждого из них ограничено по времени – например, в Google Authenticator пароль действителен 30 секунд, потом создается новый.

С другой стороны, если пользователь теряет телефон, то с переустановкой таких приложений и привязкой к новому устройству могут возникнуть определенные сложности.

В некоторых банках в качестве альтернативы используют канал Push и технологию генерации кода подтверждений для Visa и MasterCard (CAP/DPA) в специальном приложении «Токен ВТБ24-онлайн», которое работает автономно, без интернета. Еще один вариант – генерация QR-кодов, которые отображаются на экране и считываются смартфоном.