БизнесЦензор

28.01.20 09:05

Зламали аккаунт з використанням коду SMS. Як це сталося?

Двохфакторна автентифікація все ще залишається одним із самих надійних способів забезпечити безпеку своїх даних. Тому вмикайте її всюди де можливо.

Фото: pixabay.com

"Моя пошта була захищена двохфакторною автентифікацією, але її все одно зламали. А потім отримали доступ до грошей на банківському рахунку". Чули такі історії? Ні, це не "urban legends". Розберемося як таке могло відбутися.

Нагадаємо що таке двохфакторна автентифікація (2FA). Перший фактор – "я знаю". Ваш сильний пароль, що знаєте тільки ви. Другий фактор – "я маю". Це може бути:

Якщо 2FA підключена, то доступ можливий лише при використанні обох факторів. Виглядає надійно. Теоретично.

Але ступінь вашого захисту визначає найбільш слабка ланка всієї системи.

Використання коду з SMS

Досить багато сервісів (в тому числі деякі банки), надсилають код підтвердження на ваш мобільний номер за допомогою SMS та називають це "двохфакторною автентифікацією". Але ж ви не володієте безпосередньо телефонним номером. Що може трапитися?

Що робитиме зловмисник, отримавши доступ до ваших SMS? Простий спосіб: багато сервісів мають опцію "Скинути пароль", висилаючи код підтвердження саме за допомогою SMS на прив'язаний до аккаунту мобільний номер. І лише цього коду для деяких сервісів буде достатньо, щоб зловмисник встановив свій власний пароль!

Трапилося дві речі: ви втратили контроль над тим, хто ще може читати ваші SMS. Та розробник сервісу зробив помилку в одному із сценаріїв взаємодії з користувачем, дозволивши доступ до аккаунту тільки за наявності одного фактору (коду з SMS) замість двох (коду та паролю). Нажаль, в цьому сценарію навіть сильний пароль не допомагає, бо обходиться сама потреба його вводити.

Більшість історій про втрату аккаунту з двохфакторною автентифікацією, що ви чули останнім часом, трапилась саме за таким сценарієм: був налаштований спосіб "код через SMS", телефонний номер перейшов до зловмисника, зловмисник скинув пароль, використавши отриманий через SMS код.

А якщо розробник не зробив такої помилки і тільки коду на SMS недостатньо? Зловмисник все ще може продовжити "атаку" підбором паролю. Якщо був обраний типовий слабкий пароль (на кшталт "password1") чи зловмисник отримав ваш пароль якимось іншим чином, то "злам" відбудеться досить швидко. Але якщо пароль був "сильним" та невідомим зловмиснику, то при цьому перебігу подій ваш аккаунт залишиться захищеним.

Автентифікація за допомогою паролю та коду, отриманому через SMS не є повноцінною двохфакторною (тому що другий фактор, телефонний номер, не належить та не контролюється вами в повному обсязі). В ній є деякі типові слабкі місця (на кшталт розглянутих вище).

Національний Інститут Стандартів і Технологій Сполучених Штатів (NIST), наприклад, взагалі рекомендує утриматись від використання автентифікації на основі SMS-повідомлень. Тому при налаштуванні 2FA обирайте інші способи.

Двохфакторна автентифікація все ще залишається одним із самих надійних способів забезпечити безпеку своїх даних. Тому вмикайте її всюди де можливо. Враховуйте "тонкі" місця, пам'ятаючи, що рівень всього захисту задає найслабкіша ланка вашої системи. І нехай ваші данні залишаються лише з вами.

Смотреть комментарии → ← Назад в рубрику