SMS-пароли являются небезопасными для граждан и их денежных средств в цифровую эпоху, считают в Минкомсвязи.
«Использование SMS для аутентификации несет существенные риски для безопасности, и необходимо использование других, более безопасных способов, таких как применение генераторов одноразовых паролей (TOTP — Time-based One-time Password Algorithm) с дополнительной криптографической защитой. Соответствующие приложения и сервисы реализованы как отечественными, так и зарубежными компаниями, и стандартизованы в документах IETF (Internet Engineering Task Force)», — заявили в пресс-службе Минкомсвязи.
Сейчас отправка кода в SMS часто используется платежными сервисами для подтверждения оплаты.
В чем уязвимость SMS-паролей?
Использовать SMS для доставки одноразовых паролей действительно менее безопасно, чем хотелось бы. Основная причина уязвимости - это то, что SMS-сообщения зачастую передаются по открытым незашифрованным каналам, подключиться к которым может любой злоумышленник, обладающим достаточным уровнем технических знаний и нужным оборудованием. По сути, злоумышленнику достаточно приобрести устройство, стоимость которого не очень велика, обосноваться рядом с местом, где находится жертва атаки, скопировать настройки ближайшей станции оператора мобильной связи, и ретранслировать все SMS-сообщения и звонки, поступающие на телефон пользователя, параллельно копируя информацию. Подобные виды атак, целью которых является перехват одноразовых паролей или других важных данных, называются “человек посередине”.
Владельцам смартфонов на базе операционных систем Android и iOS угрожает еще одна опасность, связанная с SMS-паролями. Весной этого года ученые Амстердамского университета рассказали как хакеры могут использовать функцию синхронизации смартфона с компьютером для перехвата SMS-сообщений с OTP. На компьютер жертвы попадает троянский вирус, который под именем владельца аккаунта загружает на Android смартфон вредоносную программу. Эта программа дожидается прихода SMS с одноразовым паролем и перенаправляет его злоумышленнику. Если говорить об iPhone, то здесь все еще проще. Последние версии OS X и iOS позволяют пользователю читать SMS прямо с компьютера. Все SMS-сообщения хранятся на жестком диске, соответственно, вирусу достаточно отслеживать содержимое папки, в которой хранятся SMS, чтобы в нужным момент перехватить SMS с одноразовым паролем.
Однозначно, использование SMS-аутентификации дополнительно к привычным паролям значительно повышает уровень защиты системы, но мы рекомендуем своим клиентам использовать аппаратные OTP токены, так как это самый безопасный способ генерации одноразовых паролей из существующих сегодня. Аппаратные генераторы временных паролей не подключаются к какой-либо сети, работают полностью автономно и не могут быть взломаны с помощью вируса (как смартфоны). Программные токены в виде приложений для смартфонов также более безопасны, чем SMS, так как исключается возможность перехвата пароля с помощью атаки “человек посередине”, но остается возможность заражения смартфона вредоносным ПО.