Comments 9
Автор, в силу специфики бизнеса, оживляет мягко говоря старо-костыльную тему с мобильником при идентификации/аутентификации. Так вижу.
Касаемо F2A, там где это нужно, есть более совершенные методы - Госуслуги, например, ввели F2A посредством TOTP (Time-based One-Time Password Algorithm). Одноразовый код, при этом, автономно генерерируется на стороне клиента.
Необходимость как в услугах сотовой сети, так и в передаче дополнительной личной информации(актуальный телефонный номер абонента, привязанный в РФ к паспортным данным) исчезает полностью.
Пользователю предоставляется индивидуальный ключ(цифробуквенный код), для открытого алгоритма RFC 6238, а далее пользователь сам решает на каком вычислительном устройстве он будет генерить одноразовый код авторизации(при желании хоть на покупном брелке, хоть на Ардуине).
В п. 4.2.9. Письма от 24.03.2014 No 49-Т ЦБ РФ рекомендует использовать SMS в качестве канала уведомления клиента о совершении операции, но никак не о передаче таким образом кодов подтверждения операций. Последнее банки делают на свой страх и риск используя канал не предназначенный для предачи инфы по защищенным транзакциям.
Существует судебная практика, где суды взыскивают с банка убытки даже в случае наличия SMS-информирования (Апелляционное определение Санкт-Петербургского городского суда от 28.04.2016 No 33-7902/2016 по делу No 2-6233/2015, Апелляционное определение Санкт-Петербургского городского суда от 11.06.2015 No 33-8603/2015 по делу No 2-622/2015).
Логика судов в этих делах заключается не в том, что SMS-информирование небезопасно, а в том, что сам клиент ничего не нарушал.
Ну и как обычно в таких статьях: берём библиотеку и три строчки кода, не считая инициализации... Ладно, на том спасибо
Текст от тех самых родителей, которые запрещают детям пить пиво, держа при этом бутылку в руках в этот же момент.
Вход по SMS не безопасен, потому что есть вот такие штуки для воровства чужих SMS. Поэтому придумали MFA. Сейчас мы с вами сделаем MFA на SMS 🤡🤡🤡🤡🤡🤡🤡🤡🤡🤡🤡🤡🤡🤡🤡
В разных проектах я вижу одну и ту же ошибку: разработчики пытаются внедрить как можно больше разных методов аутентификации. В результате падает безопасность, пользователям сложнее ориентироваться, а разработчикам — управлять и поддерживать продукт.
Внедрение разных методов аутентификации может быть реализовано с ошибками, но само по себе ошибкой не является.
Два самых распространенных метода аутентификации — по e-mail и SMS
Они часто используются из-за простоты и удобства, но у них много недостатков:
...
Для повышения безопасности и удобства пользователей эти методы дополняются другими и используются в рамках многофакторной аутентификации (MFA). Рассмотрим несколько способов.
Из википедии:
Многофакторная аутентификация (МФА, англ. multi-factor authentication, MFA) — расширенная аутентификация, метод контроля доступа к чему-либо (компьютеру, сайту и так далее) в котором пользователю для получения доступа к информации необходимо предъявить более одного «доказательства механизма аутентификации».
Если у вас аутентификация по email и sms, это уже MFA.
Если у вас аутентификация по email и sms, это уже MFA.
Почему же? Если они используются для отправки OTP, то нет. Это всё факторы одной категории - владения.
Если у вас аутентификация по email и sms, это уже MFA.
https://cheatsheetseries.owasp.org/cheatsheets/Multifactor_Authentication_Cheat_Sheet.html
В Сбербанк именно так сделано?
Настраиваем аутентификацию по SMS и через мессенджеры для самых мобильных пользователей