SMS для получения паролей не так уж безопасны?

Двухфакторная аутентификация с помощью одноразового пароля по SMS позволяет пользователям подтверждать свою личность посредством кода, который отправляется им в текстовом сообщении. Двухфакторная аутентификация, конечно, повышает безопасность, но получение кодов-паролей по SMS считается слабой формой проверки. Разберемся, почему такой способ не безопасен.

Эта форма аутентификации на самом деле довольно проста. После входа в систему пользователь получает текстовое сообщение с кодом по SMS. Все, что нужно сделать — это ввести этот код в соответствующем приложении или на сайте, чтобы получить туда доступ.

По идее, это повышает уровень безопасности для входа в систему, ведь теоретически злоумышленники должны украсть пароль пользователя и его телефон, чтобы получить несанкционированный доступ к учетной записи.

Несмотря на удобство и простоту использования, у SMS-аутентификации есть некоторые недостатки

Вот несколько рисков, о которых следует помнить:

• Замена SIM-карты: отправка кода аутентификации на личный мобильный телефон может показаться безопасной, но злоумышленники нашли способы перехватить SMS-сообщения. Например, они могут связаться с сотовым оператором и, используя собранную ими личную информацию, запросить перенос номера на другой телефон. Это даст им доступ к любому коду аутентификации по SMS, который отправляется на этот номер. 
• Взлом SIM-карты: хакеры могут подделывать сигналы вышек сотовой связи и системы SS7, используемые для обеспечения роуминга данных, чтобы увидеть информацию, содержащуюся в личных сообщениях. 
• Потерянные и синхронизированные устройства: полагаться на SMS-аутентификацию рискованно, учитывая потери и кражи устройств, и еще более рискованно, когда с этих устройств доступен вход в учетные записи социальных сетей и банковские приложения. Синхронизированные устройства также создают дополнительные возможности для злоумышленников, поскольку доступ к текстовым сообщениям и другим данным можно получить с нескольких смартфонов, ноутбуков, планшетов и носимых устройств. 
• Захват учетной записи в интернете: многие поставщики услуг беспроводной связи позволяют пользователям просматривать текстовые сообщения через учетные записи в интернете. Если эти аккаунты не защищены вторым фактором аутентификации, злоумышленники могут получить доступ и отслеживать их на предмет кодов аутентификации по SMS. 
• Атаки с использованием социальной инженерии: такие атаки, как фишинг, очень распространены. Злоумышленники выдают себя за доверенную организацию, пытаясь убедить вас передать свою личную информацию и пароли, включая коды в SMS, которые они затем могут использовать для получения несанкционированного доступа.

Итак, SMS-аутентификация не совсем безопасна. Конечно, пароли по SMS лучше, чем отсутствие защиты вообще. Но сейчас есть и более продвинутые решения, о которых мы рассказывали подробно в этой статье.

Источник: //zoom.cnews.ru/b/post/tehnoblog/76321