NIST: SMS нельзя использовать в качестве средства аутентификации



    Американский институт стандартов и технологий (NIST) выступил за отказ от использования SMS в качестве одного из элементов двухфакторной аутентификации. В очередном черновике стандарта Digtial Authentication Guideline представители ведомства указывают, что «[внеполосная аутентификация] с помощью SMS будет запрещена стандартом и не будет допускаться в его последующих изданиях».

    Документ не является обязательным, но в соответствии со стандартами NIST строят свою инфраструктуру многие государственные учреждения и компании США, поэтому такое решение может серьезно изменить подходы к обеспечению информационной безопасности уже в ближайшем будущем.

    Под внеполосной аутентификацией здесь подразумевается использование второго устройства для идентификации личности пользователя.

    Почему SMS нельзя использовать для аутентификации


    В документе NIST напрямую не указаны причины того, почему SMS не следует использовать в качестве элементов двухфакторной системы аутентификации. Тем не менее, очевидно, что представители Института учли в черновике многочисленные сообщения о взломах и перехватах SMS.

    В частности, широкую огласку получила история с взломом Telegram-аккаунтов российских оппозиционеров. О том, что система авторизации по SMS в мессенджере возможно скомпрометирована заявил Павел Дуров. По мнению создателя Telegram, атака не могла быть осуществлена без вмешательства спецслужб. Однако эксперты Positive Technologies провели собственное исследование, в результате которого им удалось перехватить коды аутентификации Telegram и WhatsApp с помощью уязвимостей сетей SS7.

    В результате был получен полный доступ к учетным записям в мессенджере — осуществивший подобную атаку злоумышленник сможет не только перехватывать данные, но и вести переписку от имени жертвы.



    Кроме того, ранее мы публиковали результаты исследования защищенности сетей SS7. Итоговый уровень безопасности сетей SS7 всех исследованных операторов мобильной связи оказался крайне невысок. В 2015 году в отношении операторов связи и их сетей SS7 могли быть реализованы атаки, связанные с утечкой данных абонентов (77% успешных попыток), нарушениями в работе сети (80%) и мошенническими действиями (67%).

    Популярность этой темы легко проверить. Соответствующие запросы в поисковых системах выдают ссылки на специализированные ресурсы в закрытом интернете:



    В закрытом сегменте сети можно найти массу сервисов для взлома SS7:



    Заказы на подобные взломы также размещаются вполне открыто:



    Кроме того, уязвимостям подвержены не только технологические сети SS7, но и алгоритмы шифрования радиоинтерфейса. Атаки на сеть SS7 можно осуществлять из любой точки мира, а возможности злоумышленника не ограничиваются взломом мессенджеров. И сейчас все эти атаки становятся доступны не только спецслужбам, но и злоумышленникам, никак не связанным с государством.

    Что теперь будет


    Лучшие практики, публикуемые NIST не являются юридически обязывающими стандартами. Однако многие государственные ведомства и агентства США следуют им, что также делают и многие компании, представляющие ИТ-отрасль. Поэтому многие из них после столь однозначеного вердикта Института стандартов и технологий начнут присматриваться к альтернативным способам аутентификации, помимо SMS.

    Среди таких альтернатив, к примеру, приложения, доставляющие пользователям двухфакторные коды, обновляющиеся каждые 30 секунд — среди них такие, как Google Authenticator, Authy, Duo. Крупные корпорации разрабатывают инструменты, которые работают на основе похожих принципов (RSA SecureID).

    Тем не менее, полного и повсеместного отказа от систем аутентификации, основанных на применении SMS в ближайшем будущем не произойдет. Однако постепенно будет расти число сервисов, которые поддерживают двухфакторную аутентификацию не только через SMS, но и внутри своих приложений. И именно такие системы будут показывать лучшие результаты в деле обеспечения безопасности пользователей.
    Positive Technologies
    186.16
    Company
    Share post

    Comments 140

      +5
      > Среди таких альтернатив, к примеру, приложения, доставляющие пользователям двухфакторные коды,
      А среди альтернатив существует хоть одна альтернатива, которая позволяет обойтись имеющимися у пользователя девайсами, и при этом не требующая от пользователя установки какого-то специализированного софта?
        0
        А какие у пользователя девайсы?
        Чипы под кожу вживлять пока не начали.
          0
          Не обязательно вживлять под кожу, достаточно того, что обычно есть в кармане.
            +2
            ТО что есть в кармане у вас, не обязательно есть у других.
            Исключение — только телефон, который получил повсеместное распространение. Но как мы уже выяснили он не годится для этой задачи.
              +1
              Телефон годится, не годится SMS, потому как идёт к пользователю через третьих лиц.
              А если у вас на телефоне стоит приложение, которое по зашифрованному каналу получает коды, то от подставы в подмене SMS получателя со стороны оператора вы защищены.
                –4
                Исключение — телефон. А не смартфон.
                Смартфоны далеко не так рапспространены.
                  0
                  Смартфоны не распространены????

                  В бедной-бедной Индии классические телефоны — редкость.
                  Там смартфоны почти у всех, у кого вообще есть связь
                    +1
                    На многих телефонах есть J2ME. Причём, очень давно.

                    J2ME OTP Calculator
                      0
                      Ой, вот как раз Джаву в современных звонилках днём с огнём не сыскать. По крайней мере в России. Кто раритетами прошлых лет пользуется или купил их б/у — счастливчики.

                      Вообще, парадокс. С учётом того, что старые звонилки были продвинутыми (пусть и без камеры) и дорогими, но с годами технологии стремительно дешевеют, удивительно, что нынче за пару тысяч можно купить примитивное убожество, не умеющее даже с MMS работать, не поддерживающее цветовые темы оформления (размер шрифта и то обычно не регулируется, жри что дают), какие уж тут поддержки Java от такого ПО ждать, но зато с камерой для галочки и большим экраном (если повезёт — ещё и ёмким аккумулятором). Впрочем, это явление легко объясняется жаждой денег производителей, увы и ах.
                        +1
                        нынче за пару тысяч можно купить примитивное убожество, не умеющее даже с MMS работать


                        MMS никому в современно мире уже не нужно.
                        Кому нужно нечто подобное — сидят на Вайбере, ВиЧате, Ватцапе, Телеграме.

                        Впрочем, это явление легко объясняется жаждой денег производителей, увы и ах.


                        Не объясняется. JavaME уже была разработана. И все для её интеграции в телефон — уже сделано. Самая дорогая часть — R&D здесь. А производство — это уже экономия на копейки.

                        Выкинули только потому, что она не нужна.
                        Была бы РЕАЛЬНО НУЖНА потребителям — никто бы не стал эти копейки экономить.

                        Я вот замечаю, что современные простые телефоны — существенно быстрее запускаются. Значит, железо там не то древнее слабое…
                          0
                          И все для её интеграции в телефон — уже сделано.
                          Софтверная начинка другая, надо скрещивать ужа с ежом. Нужны более квалифицированные разработчики, чем наводчики макияжа на opensource-ные прошивки.
                          существенно быстрее запускаются
                          Ну это как раз можно объяснить и тем, что софт максимально упрощён. Не обязательно показатель эффективности его проектирования с точки зрения потребления процессора, памяти и энергии.

                          Лично я разницы в быстроте запуска не замечал, по-моему даже наоборот — махонькие соньки эриксовны и моторолки середины 2000-х запускаются шустрее, чем исчезает заставка на современных широкобоких тел-ах вроде Fly и проч.
                          никто бы не стал эти копейки экономить.
                          Зачем потребителю предлагать дешёвый многофункциональный перочинный нож, когда можно развести его на покупку чемодана с инструментами? Нет экономического смысла продавать навороченные звонилки, когда выгоднее продавать смартфоны.
                            0
                            При этом я переживу без браузера, mms и прочих няшек на телефоне, но нет элементарных вещей. Например, недавно купил филипс Е160, на него надо перебросить контакты с excel 300 штук. Реально, оказалось проще написать программу, чем найти что-то в сети. Тем более нет ничего на сайте производителя.
                            Чем еще можно объяснить, что производитель не дает синхронизировать контакты с компьютером, кроме желания продавать смартфоны?
                              0
                              Актуальный вопрос. У меня дядя взял себе E560. Исходниками не поделитесь?

                              Кстати, у Вас есть возможность устанавливать мелодию на контакт? Или такого пункта поддержки в телефоне нет?
                                0
                                Исходниками не поделитесь?

                                Там такая залипуха, что прямо даже неудобно.
                                for i := 1 to 270 do begin
                                fmain.Memo1.Lines.Add('BEGIN:VCARD');
                                fmain.Memo1.Lines.Add('VERSION:2.1');
                                fmain.Memo1.Lines.Add('N;CHARSET=UTF-8;ENCODING=QUOTED-PRINTABLE:' + imya[i]);
                                fmain.Memo1.Lines.Add('TEL;CELL:' + nomer[i]);
                                fmain.Memo1.Lines.Add('END:VCARD');
                                end;
                                Я вставил свои контакты в excel, сформировал сразу код для заполнения массива imya и nomer, скопировал код в тело программы.
                                Сам проект я сохранил только для того, чтобы в следующий раз формат vcard для своего телефона не искать.
                                у Вас есть возможность устанавливать мелодию на контакт?

                                Я зашел в контакт, при редактировании можно выбрать мелодию стандартную или с телефона. Менять не стал, я таким не занимаюсь.
                                Зачем вам разные мелодии на контакты? Лучше одну иметь и рингтоном. Привычно и понятно, что звонит телефон, а не радио в машине играет.
                                  0
                                  Надо отличать контакты по звуку «свои», «чужие» и «конец света».
                                    0
                                    Спасибо. Теперь попробую понять, как оно работает.

                                    Моему дяде требовалось. Для отдельного звонка, когда начальство звонит. :)

                                    Похоже у нас менять не получилось, ибо контакты на sim'ке лежат и не перенесены в память телефона.
                                      0
                                      А если продублировать нужные контакты в память телефона, какой из контактов телефон примет во внимание? В справочнике понятно будет дублирование, а вот при входящем вызове?
                                      Так можно было бы решить обе проблемы сразу.
                                0
                                Нужны более квалифицированные разработчики, чем наводчики макияжа на opensource-ные прошивки


                                Покажите мне opensource прошивку GSM-модуля телефона.
                                Ну, пожалуйста, покажите.

                                Вы не в теме совершенно.

                                Зачем потребителю предлагать дешёвый многофункциональный перочинный нож, когда можно развести его на покупку чемодана с инструментами? Нет экономического смысла продавать навороченные звонилки, когда выгоднее продавать смартфоны.


                                Ага. Только этим занимаются разные заводы. И вовсе не заинтересованы в описываемым вами маркетинговом трюке.

                                Старого типа телефоны — одни заводы специализируются. Смартфоны — другие заводы. Совмещение — крайне редко, только у крупных производителей осталось, например, у Samsung.

                                Да и вы вообще понимаете что такое «сегменты рынка»???? Как это работает?

                                Вы всерьез полагаете, что отключив MMS, можно заманить покупателя, нацелевшегося на звонилку в 500 рублей на смартфон хотя бы за 3000 рублей?
                                  0
                                  Покажите мне opensource прошивку GSM-модуля телефона.
                                  Ну, пожалуйста, покажите.
                                  Я про оболочку-ОС, в которой должен обсуждаемый OTP Calculator запускаться и работать, а не про GSM-модули.

                                  Возможно правильнее было бы выразиться «с бесплатным открытым исходным кодом, с правом на присваивание прав на модифицированный код, иными нюансами» и т.п.

                                  Из того, что могу вспомнить:
                                  FreeRTOS,
                                  ThreadX
                                  Только этим занимаются разные заводы
                                  Какая разница какие заводы в каких частях света занимаются производством, под брендом вообще может скрываться зоопарк не находящихся друг с другом в родстве устройств, из совершенно разных электронных компонентов, как у того же Fly, работающей по принципу «увидели где-нибудь в Китае удачную модельку звонилки — и быстро адаптировали под массовые продажи в коробочках со своим логотипом в таких-то странах».
                                +1
                                Как отправить срочно фотографию с камеры телефона без MMS? На звонилке функция не нужна, но раз в год вот надо срочно и всё и как на зло под рукой нет смарфона, и уж темболее желания заводить месенджер на отправку одного фото в год.
                                  0
                                  Ситуации вообще разные бывают. Может статься, что в роуминге дешевле ммснуть, чем выходить в моб.инет, может надо пожилому человеку на «бабушкофон» весточку прислать, или банально послать длинное сообщение дешевле, чем если бы состоящим из нескольких СМС.

                                  Собственно суть-то была не конкретно в MMS, суть в том, какие могут быть сюрпризы при покупке современных простых телефонов, на что обращать внимание. Слышал о более страшных вещах, вроде про Explay-и, в которых не поддерживались flash-SMS (используются некоторыми банками, это которые зажигаются на экране без добавления во «входящие») и даже USSD-запросы в режиме диалога. Про такие ущербности из технического описания товара на сайте производителя не узнать, только тестировать вживую…
                                    0
                                    Собственно суть-то была не конкретно в MMS, суть в том, какие могут быть сюрпризы при покупке современных простых телефонов, на что обращать внимание

                                    Покупал своей маме телефон, она спросила, будет ли там Т9, я ответил, что конечно же будет, сейчас телефоны лучше, чем раньше… Ну вы поняли, что никакого Т9 в телефоне за 890 рублей не было.
                                    Да я вам больше скажу — операторы в скором времени будут отключать станции, умеющие 2G.

                                    Доказательства есть? А то держу своё смартфон в 2G, так как только он нормально ловит в моей квартире, а мобильный интернет дорог.
                                      0
                                      Доказательства есть? А то держу своё смартфон в 2G, так как только он нормально ловит в моей квартире, а мобильный интернет дорог.


                                      «Будут» — глагол будущего времени.

                                      Первая ласточка: сейчас в столице сеть Tele2 в 2G не работает.

                                      По мере выхода базовых станций из строя или замены на новые — операторы будут ставить только современные станции, где только 3G и выше…
                                        +1
                                        У Tele2 в Москве это связанно с отсутствием лицензии на 2G.
                                        Если не ошибаюсь, частоты для 3G/4G различаются в США и Европе (и России), что отражается на поддержке частот в телефонах. В результате, при отсутствии 2G, роуминг, в том числе и голосовой, для некоторых абонентов просто не будет работать. Не думаю, что все операторы пойдут на это.
                                      +1
                                      Да что там Explay, если Windows Phone 7.x (а значит и все смартфоны от Nokia, Samsung и HTC c ней) не поддерживала такие USSD запросы.
                                      Настройки MMS там тоже как-то странно реализованы.
                                      0
                                      Как отправить срочно фотографию с камеры телефона без MMS?


                                      А какой смысл отправлять?
                                      Ее получить мало кто может. Даже в ушедшию эпоху рассвета ММС с этим были большие проблемы. Потому, собственно, ММС и умерли.

                                      суть в том, какие могут быть сюрпризы при покупке современных простых телефонов, на что обращать внимание.


                                      Да я вам больше скажу — операторы в скором времени будут отключать станции, умеющие 2G. И если ваш простейший телефон не умеет голос через 3G, то все плохо…
                                        0
                                        Никаких проблем… MMS работает через интернет вообще-то. Просто для этого в телефонах использовался отдельный профиль чтобы тарифицировать передачу данных отдельно.
                                        И еще в бытность ч/б телефонов когда телефон не мог физически ММС-ки то приходит код-ссылка в СМС по которой можно в интернете посмотреть ММС-ку.
                                          0
                                          > MMS работает через интернет вообще-то.
                                          Чтобы они работали, нужно все равно как минимум профиль под них прописать. Чего практически никто не делает, т.к. на смартфонах есть куда более практичные заменители, от электронной почты до вайбера.
                                            0
                                            Профиль приходит от провайдера автоматически при неудачной попытке использовать функцию(как они это определяют — не в курсе, но всё светится). И это приходит на уровне GSM-протокола, от которого ни один телефон отказаться не может(иначе GSM-модуль не пройдёт сертификацию и его нельзя будет ставить в телефоны). Причём, часто оператор делает одолжение пользователям — даёт возможность отказаться от применения настроек.
                                            0
                                            Никаких проблем… MMS работает через интернет вообще-то.


                                            Сколь мне не отправляли MMS, я их НИ РАЗУ не получал.
                                            Мне не надо было ничего настраивать, мне не нужны MMS, я и не настраивал.

                                            А вот с появлением Telegram, Viber, WeChat, WathApp — стал получать фотографии. Там это не в пример проще — ничего и делать не нужно для настройки.
                                              +1
                                              Точно так же ничего не нужно делать с ММС-ками, настройки автомаически приходят по воздуху от оператора при неудачной попытке получить ММС-ку. Иногда конечно не срабатывает детектор, и тогда проблема решается отправкой технической СМС, в ответ на которую приходят настройки. Это ничуть не сложнее регистрации в вайбере, телеграмме и прочих сервисах. Сдохли ММС-ки по другой причине — они были слишком дорогие, и на время расцвета технологии многие телефоны не имели возможность их отображать(попробуй смотреть фото на экране 120x96 точек с 16-ю градациями серого...) сейчас ситуация лучше но… момент упущен.
                                              У меня на телефоне вайбер тупо не работает и не будет работать — нет постоянного интернета по идеологическим причинам. А принимать вайбер-сообщения только по вечерам с домашнего WiFi это изврат — его кроет по функциональности и удобству скайп, Gmail и jpegshare.
                                0
                                А чем «приложение, которое по зашифрованному каналу получает коды» принципиально отличается от вкладки в браузере, допустим с вэбинтрфейсом почтового ящика? Особенно если учесть что когда я за компьютером, то телефон у меня работает по тому же каналу. Весь смысл возьни с СМС был в том чтобы задействовать ДРУГОЙ канал передачи данных. А так… ну шлите мне на почту коды, она ничем не хуже «специального приложения» написанного индусом на каком-нибудь ionic.
                                  0
                                  Браузер может оказаться под контролем трояна, или система скомпрометирована программами для удалённого управления. Вводимый код можно будет тоже перехватить, но смысла от него нет никакого — код будет от конкретной операции и максимум что может сделать злоумышленник — помешать совершить транзакцию.
                                  Суть в том чтобы нельзя было получать код автоматизированно — он должен пройти через руки человека.

                                  А почта… ещё более небезопасна чем СМС — досихпор нет никаких стандартов по шифрованию содержимого, максимум SSH-обёртка которая никак не защищает от перехвата на системе жертвы.
                                    0
                                    Вообще это был риторический вопрос. Все это достаточно очевидно. И точно так же приложение может оказаться под контролем трояна.
                                      0
                                      Конечно может. Как и сам девайс. Но такие трояны это скорей конкретная целевая атака, чем широкополосный посев. Темболее что приложение может противодействовать контролю со стороны трояна(шифрование данных в памяти, использование алгоритмов шифрования допускающих операции над содержимым без расшифровки и т.д.), а вот браузер под вопросом.
                                      Самым надёжным будет только девайс без возможности исполнения постороннего кода т.е. с жёстко вшитой прошивкой в OTP-чип. Но они пока ещё не нужны по принципу неуловимого Джо — пока есть более лёгкие способы взлома отдельные приложения взламывать будут с большой неохотой.
                                      Средства защиты — это компромисс между стоимостью защиты и стоимостью взлома защиты, таков расклад на сегодняшний день и сложность защит не будут повышать до тех пор пока стоимость взлома достаточно высока.
                                      0
                                      Браузер под контролем трояна — это хоть как-то да зависит от конечного пользователя.
                                      Перехват СМС — не зависит от конечного пользователя.
                                    0
                                    Так человек хочет, чтобы девайс был, а приложение на него ставить не надо было.
                                      0
                                      Тогда придётся ждать, пока это приложение не войдёт в состав предустановленных в систему.
                                      Но это странное условие. Человек купил смартфон и не хочет ставить на него приложения?
                                        +1
                                        О том и речь. Но, возможно, он НЕ купил смартфон.
                                      –3
                                      Приложение — не вариант. Точнее, не вариант для всех пользователей. Не у всех смартфоны, не все владельцы смартфонов умеют или просто хотят их устанавливать. Зачем при этом покупать смартфон, вопрос тоже очевидный. Большинство пользователей смартфонов покупают их не для того, чтобы там какой-то софт устанавливать, а потому, что они нравятся им по цвету, форме, размеру или модель модная.
                                      Но есть более интересный способ: я буквально час назад делал платеж банковской картой. И знаете, что произошло? Мне не пришла привычная СМС. Мне пришел звонок на телефон, и робот продиктовал код доступа для 3D-secure аутентификации. По-моему, это самый универсальный и в то же время достаточно безопасный способ.
                                        0
                                        Уж простите, но я не знаю ни одного владельца смартфонов, который бы его покупал по обозначенным вам признакам.
                                        Все кто ходит с телефонами — осознанно покупали телефоны.
                                        Все кто ходит со смартами — осознанно смарт покупали.
                                        Как правило смарт сразу покупают под 2ГИС, Навител, вконтакте.
                                        Конечно, это выборка маленькая. Но я что-то с трудом представляю, что кто-то будет переплачивать за устройств не понимаю зачем оно ему(если это не iPhone, конечно).
                                          0
                                          Ну наверное же просто ваше окружение, с которым вы общаетесь, состоит из похожих на вас пользователей, верно?
                                          Телефоны как раз покупаются обычно осознанно. Их берут люди, которым или нужны большие аппаратные кнопки, или большое время работы от батареи, или просто нужна недорогая звонилка. А смартфоны покупают все остальные — и те, кому нужны смарт-функции, и те, кому просто хочется современный девайс, чтобы с него звонить и писать смски. Ка вы верно заметили про iPhone, но то же самое касается и любого раскрученного смарта, будь-то Galaxy S7 или LG Bello в беленьком корпусе.
                                          +1
                                          На «не-смартфонах» часто есть Java

                                          Код, продиктованный голосом, от перевыпуска сим-карты, увы, не спасёт. Звонок с кодом примет уже злоумышленник.
                                            0
                                            > Код, продиктованный голосом, от перевыпуска сим-карты, увы, не спасёт.
                                            Как по мне, вот такую ситуацию можно смело ставить в один ряд с «дали битой по голове, украли кошелек». Если вы настолько интересуете злоумышленника, что он ради этого методами социальной инженерии ворует ваш телефонный номер, то борьба с ним уже лежит за пределами технических средств.
                                              0
                                              Так смысл тогда от sms уходить?
                                                0
                                                Риторический вопрос. Мне кажется, это уже «секьюрность ради секьюрности», сделать аутентификацию безопаснее на 20%, усложнив процесс на 80%.
                                                  0
                                                  СМС легко перехватывать автоматизированными методами, даже без ведома пользователя(СМС можно подавить в последствии) — это самая главная проблема этого канала передачи кода.
                                                0
                                                Примет злоумышленник, а до пользователя код не дойдёт или дойдёт уже протухшим — это будет сразу выявлено и транзакция откачена.
                                                Всё это работает только в случае крайней сложности автоматизации процесса получения и использования кода — в случае с СМС автоматизация при помощи трояна на смартфоне или перехвата мобильного трафика просто просится.
                                                Голосовая передача кода будет ещё работать некоторое время, пока не подтянутся трояны перехватывающие голосовой канал и распознающие несложный алгоритм генерации голосовых кодов…
                                                Но это может оказаться технически неосуществимым — большинство нерутованых смартов просто не имеют программного доступа к голосовым каналам.
                                                  0
                                                  Пользователь, зачастую, спохватывается, что его симка уже не работает, лишь через час, а то и более (поначалу грешит на плохое покрытие). От установки трояна, можно, хотя бы защититься самостоятельно. Не устанавливать приложения из «левых» источников и так далее. В случае же с перевыпуском сим-карты, защититься невозможно. Даже, если вы настоите, чтобы в базе оператора для вас сделали пометку не перевыпускать карту по доверенности, сотрудник в салоне может её проигнорировать.
                                            0
                                            Del
                                        +16
                                        Если вы можете в течении 30 секунд самостоятельно посчитать TOTP, то вам достаточно всего лишь запомнить shared secret :)
                                          0
                                          А если у вас лучше с памятью, чем со скоростью вычислений, то выбирайте HOTP. Нужно будет помнить еще и текущее положение счетчика, но зато времени на вычисление уйма.
                                          0
                                          А что случилсоь со старой доброй почтой? Вроде почтовые клиенты есть на подавляющем большинстве телефонов, включая даже не смарты…
                                            0
                                            «угнать» почту значительно проще, чем номер. Да и гарантии того, что смс придет быстрее чем почта, больше. Ничего настраивать не нужно. Случаев, когда мобильный интернет не работает, но ходят смс, гораздо больше, нежели наоборот.
                                              0

                                              Да, но ведь моментальная передача SMS в принципе не гарантируется. SMS с кодом может прийти сразу, может через 10 секунд, может через 3 минуты, а может даже через несколько часов. И пользователь, которому "эта долбанная смска" нужна именно сейчас, будет очень сильно нервничать. Я не говорю, что вместо этого следует использовать почту, но SMS часто меня подводило.

                                                0
                                                Имеется ввиду нормальное распределение вероятности наступления события. Вероятность получения смс будет всегда выше, поскольку для получения пакетов данных необходимо выполнение дополнительных условий (включенный режим передачи данных на смартфоне, наличие телефона в зоне покрытия БС услугой передачи данных, незаблокированный со стороны оператора или родителей :-)доступ к услугам передачи данных и т.д.)
                                            0
                                            OTP-токен?
                                            +13
                                            Спасибо тебе, господи! Свершилось!!!
                                            Может наконец закончится эра тупых привязок к телефонам и смс-кодам из них
                                              +6
                                              К сожалению привязывают аккаунт к номеру не для обеспечения вашей безопасности, а для идентификации. Определить человека по номеру телефона стало намного проще, нежели по ip, cookies или другим косвенным признакам.
                                                +1
                                                В странах, где симки не продают анонимно.
                                                  0
                                                  Анонимно в случае новый телефон + анонимная симкарта + новый комп + новый емейл.
                                                    0
                                                    Не забывайте, что тут еще и пополнять счет нужно через терминал и никак иначе
                                                      0
                                                      Можно через bitrefill.com
                                                  0
                                                  для идентификации чего? аккаунта? так я его явно ввожу
                                                  или для привязки физического потребителя к аккаунту?
                                                    0
                                                    Для идентификации пользователя вне зависимости от того, что вы указали
                                                      0
                                                      Да, кардерам пичалька.
                                                    +1

                                                    Идентификация по СМС — да, аутентификация — нет.
                                                    То есть, СМС пойдет для "- Ты кто? — Я Вася".
                                                    Но не пойдет для "- Докажи, что ты Вася".

                                                      0
                                                      СМС это аутентификация, а не идентификация. При идентификации обычна водится логин пароль(на любом ресурсе), а по смс ты получаешь код подтверждения.
                                                      То есть рассуждая по твой логике идентификация "-Я Вася, хочу зайти."
                                                      Аутентификация "-докажи что ты Вася"
                                                        0

                                                        Да, из СМС сделали средство аутентификации. Но учитывая дырявость каналов доставки СМС, такой способ не годится в качестве надежного. Это все равно, что делать пароли из 3 символов. И это не просто слова "все на свете можно сломать", а статистика.
                                                        Поэтому да, может быть удобно узнавать человека по номеру телефона. Но это все, на что хватает доверия к номеру и СМС. Для каких-то более серьёзных подтверждений СМС использовать небезопасно.

                                                          0
                                                          Эээ… Ну я видимо не понял тебя. Проста в твоем месседже явно написана что СМС это идентификация, а не аутентификация. Идентификация и аутентификация это очень разные вещи.
                                                          Думаю расписывать что есть что, не критично в данной ситуации.
                                                            0
                                                            Идентификация по СМС — да, аутентификация — нет.

                                                            Под этим я имел в виду, для чего оно годится. С терминами-то все не сложно:


                                                            • Идентификация — узнать имя юзера.
                                                            • Аутентификация — убедиться, что он тот, за кого себя выдает (спросить и проверить пароль).
                                                            • Авторизация — разрешить доступ (дать права этого юзера).

                                                            Возлагать на СМС роль аутентификации и на основании такой аутентификации приступать к авторизации — открывать ооочень большой список рисков для пользователя. Телефон могут тупо украсть. А ещё могут "потерять" и выдать новую симкарту в салоне оператора (с чем сейчас борются банки, отслеживая смену сим карты). А ещё кто угодно может вклиниться в ваш канал сотовой связи и перехватывать ваши смс.
                                                            В такой ситуации идентификация по номеру телефона — максимум, на что можно полагаться. И то, с оглядкой.

                                                              0
                                                              >Идентификация — узнать имя юзера.
                                                              >Аутентификация — убедиться, что он тот, за кого себя выдает (спросить и проверить пароль).
                                                              >Авторизация — разрешить доступ (дать права этого юзера).
                                                              Почти
                                                              Идентификация — авторизация пользователя по ID акаунта, логин и пароль.
                                                              Аутентификация — авторизация идентификаци с запросом кодового слова через иной источник связи, маил, телефон и иные средства брелки устройства и ПО.
                                                              >Возлагать на СМС роль аутентификации и на основании такой аутентификации приступать к авторизации — открывать ооочень большой список рисков для пользователя.
                                                              Тут я с вами не спорю. Телефон в прицепе не лучшее средство подтверждения. Самое топовое это брелок с подтверждением генетического ДНК код индивида, такую байду замучаются подделывать.

                                                                0
                                                                Идентификация — авторизация пользователя по ID акаунта, логин и пароль.
                                                                Аутентификация — авторизация идентификаци с запросом кодового слова через иной источник связи, маил, телефон и иные средства брелки устройства и ПО.

                                                                На самом деле нет. Эти три понятия часто путают, хотя они означают три раздельные вещи.


                                                                Из википедии, идентификация в информационных системах — присвоение идентификатора и / или сравнение идентификатора с перечнем присвоенных идентификаторов. Например, идентификация по штрихкоду. От лат. identifico — отождествлять.
                                                                На этом этапе от пользователя ещё не попросили пароль. Это достаточно быстрый этап, после ввода логина, но до ввода пароля. Иногда система по логину определяет, из какой базы брать пароль. Например, когда есть почтовый сервер с кучей доменов.


                                                                Так же, из википедии, Аутентификация (англ. authentication; от греч. αὐθεντικός [authentikos] – реальный, подлинный; от αὐθέντης [authentes] – автор) — процедура проверки подлинности.
                                                                На этом этапе пользователь должен доказать, что он действительно является тем идентификатором, который он указал ранее. Вот здесь уже идет проверка подлинности пользователя, например путём сравнения введённого им пароля с паролем в базе.


                                                                А Авторизация (англ. authorization — разрешение, уполномочивание) — предоставление определённому лицу или группе лиц прав на выполнение определённых действий; а также процесс проверки (подтверждения) данных прав при попытке выполнения этих действий. Опять-таки, из википедии
                                                                На этом этапе система смотрит, куда она дает доступ юзеру. Например, СУБД смотрит, в какие базы пользователь может зайти.


                                                                Таким образом. авторизация — это просто предоставление прав (от англ authorization — разрешение).

                                                                  0
                                                                  При идентификации ты авторизируешься на ресурсе и при аутентификации ты подтверждаешь идентификацию, грубо говоря авторизируеш идентификацию.
                                                                    +2
                                                                    Идентификация — представляешься системе. Аутентификация — доказываешь системе, что ты это ты. Авторизация — проверка системой твоих прав.
                                                                      +1
                                                                      Мой косяк извиняйте. Прошерстил в книжках, так оно и есть.
                                                    0
                                                    Так как безопасно авторизовываться? отпечаток пальцев, сетчатки, регистрация на сервисе госуслуг и получение железного (usb) ключа? Какие методы надежней? Или все по старинке: 256 разрядный шестнадцатеричный ключ вида: df936a5ff54fb58f38a060d962299e7f5d192a90f7283d1f7d17ec3f7c5be959?
                                                      +8
                                                      Биометрию вроде бы признали бесперспективной ещё до засилия СМС-кодов…

                                                      А вот госуслуги, кстати, вполне себе внеполосную аутентификацию реализовали — приходит тётя, приносит конверт с кодом, кидает его в почтовый ящик. Не всегда в нужный ящик, и вообще не всегда в ящик, но стойкость к атакам на SS7 очевидна.
                                                        0
                                                        госуслуги теперь работают через мфц, а не через почту России.
                                                          0
                                                          Письмом можно подтвердить аккаунт.
                                                            +1
                                                            Но в налоги с ним нельзя, так что аккаунт неполноценный.
                                                              0

                                                              В налоги можно либо:
                                                              а. Сходив в МФЦ и подтвердив учётку ЕСИА лично (где на тебя и на твой паспорт посмотрят)
                                                              б. Подтвердив учётку ЕСИА с помощью электронной цифровой подписи (именно так единственный раз за три года мне пригодилась карта УЭК, уже, считай, не зря получал)

                                                          –3
                                                          И что?
                                                          Злоумышленник зайдет и от вашего имени налоги заплатит?
                                                          Так это же благо.

                                                          А все остальное что можно там узнать — все это можно получить и более простыми способами за коробку конфет соотвествующим госслужащим и даже проще.
                                                            0
                                                            Ага. Я представляю как на меня наброситься налоговая, если налоги мои будут оплачены левым человеком.
                                                              0
                                                              Точнее с левой карты. Налоговую по сути не интересует кто платит физически, её интересует чьи это средства юридически. Если не ваши, то, как минимум, на них нужно подоходный начислить :)
                                                            0
                                                            На сколько мне известно письмо заказное и выдают его только в почтовом отделение и только по паспорту.
                                                              0
                                                              Моей матушке выдали такое письмо, предназначенное мне.
                                                                0
                                                                Мне вообще в почтовый ящик бросили.
                                                          0
                                                          Однако постепенно будет расти число сервисов, которые поддерживают двухфакторную аутентификацию не только через SMS, но и внутри своих приложений.

                                                          Как внутри сайта или приложения можно реализовать аутентификацию?
                                                            0

                                                            Отдельное приложение на телефоне, на которое приходят коды с сайта.
                                                            Принцип тот тоже, что у СМС, только через интернет, сшифрованием и прочими плюшками.

                                                            +3
                                                            Не совсем по теме, но я тут задумал сделать реализацию U2F на TPM (Windows / Linux). TPM уже сейчас есть во многих компьютерах, а в связи со свежим требованием TPM Windows 10 и внедрением программной реализации внутри Intel ME на новых чипсетах, к концу года он будет стоять если не на всех компьютерах, то на подавляющем большинстве. Безопасная двухфакторная аутентификация без использования сторонних устройств, хорошо ведь звучит? Никто не желает присоединиться?
                                                            • UFO just landed and posted this here
                                                                +2
                                                                Trusted Platform Module, крипточип на материнской плате (либо программный в ME).
                                                                0
                                                                Quis custodiet ipsos custodes? Как доверять этим ТПМ-ам, которые поставляет сам вендор оборудования?

                                                                У меня параноя? ;)
                                                                  0
                                                                  Во многие десктопные материнские платы вы можете любой TPM поставить, там есть разъем для подключения TPM. Производителей несколько.
                                                                    0
                                                                    я-то могу! (и ставлю — работа такая) :) но вы уповаете на intel me. в связи с этим и вопрос ) насколько это выйдет доверенно…

                                                                    да, и чуть ниже вопрошают про реализацию. не поделитесь задумкой? интересно!
                                                                  +1
                                                                  С ходу нет — это же девайс лок получается, девайс локов сейчас и так полно, а надо, в конце концов, пользователя идентифицировать, а не устройство.
                                                                    0
                                                                    Если все получится так, как у меня сейчас в голове задумано, то ключ можно будет синхронизировать между несколькими TPM'ами, чего нельзя добиться с тем же Yubikey (но его можно физически носить и вставлять в компьютеры, конечно же).
                                                                      0
                                                                      А вот так уже лучше, хотя все равно девайс лок. В стиме например сейчас такая-же фигня — если зайти с нового устройства он ругнется и затребует подтверждение, которое, опять-же, через мобильное решето или почту. Получится вариация девайс лока только не по железу или какому-то комплекту параметров-переменных системы, а по TPM.

                                                                      Как уже писали рядом — хорошая будет статья для Хабра.
                                                                        0
                                                                        В стиме например сейчас такая-же фигня — если зайти с нового устройства он ругнется и затребует подтверждение

                                                                        Не с другого устройства, а с другой системы. Комп может быть один и тот же.
                                                                          0
                                                                          Насколько я помню, при варварской замене сенди бриджа на скайлейк (мать+проц+оперативка) без переустановки системы стим меня развидел и пришлось лезть на почту.
                                                                            0
                                                                            У меня развидел на одном и том же компе под Linux и Windows. Значит видимо от устройства тоже зависит.
                                                                              0
                                                                              Статью про особенности девайслока стима было бы тоже интересно статью почитать, но им никто не занимается, если и ломать стим то проще отломать его от самой игры.
                                                                              Вальву бы на хабр заинвайтить…
                                                                    0
                                                                    Расскажи пожалуйста про реализацию. Как это всё будет «выглядеть»? Приложение, драйвер или часть биоса? Почему для этого нужен TPM? Отличная тема для статьи на ГТ.
                                                                    0

                                                                    И правильно. У гигантов типа Гугла или Эпла авторизация по смс уже ниже по приоритету, чем подтверждение кодом с устройства. У Гугла это приложение "Google Authenticator", у Эппла код загорается прямо на айфоне без установки софта.

                                                                      +2
                                                                      Google Authenticator это шикарно, но вот буквально вчера умер телефон и если бы не смс (ну, и секретные коды «на бумажке» в компьютере), то, получается, мог бы попрощаться со всеми своими аккаунтами?
                                                                        –3
                                                                        Да, могли бы попрощаться — как и любой другой человек, не делающий бэкапы важных данных.
                                                                          –1
                                                                          Ну служба поддержки может и спасла бы :)
                                                                            0
                                                                            Ответ на секретный вопрос благополучно забыт… я так попрощался с только что созданным акаунтом на гугле — не прошло и суток как забыл пароль(специально же выдумал невзламываемый) и ответ на секретный вопрос. Теперь пользуюсь некошерным аккаунтом с циферками на конце.
                                                                              0
                                                                              Пройдёт с пол года и «кошерный» акк сдохнет, можно будет перерегистрировать :)
                                                                          0
                                                                          На смс нельзя полагаться хотя бы потому что телефоном легко может воспользоваться другой человек (если телефон не запаролен): родственник или грабитель.
                                                                            0
                                                                            У них как правило не будет первого фактора(пароля) чтобы воспользоваться услугой. Только целевая атака может скомпрометировать доступ — т.е. если будут знать когда и чей телефон украсть или заразить трояном, транслирующим входящие СМС. А иногда действует даже три фактора: ещё пин-код/сканер отпечатка самого телефона.
                                                                              0
                                                                              Заходят они в вк, вводят в качестве логина номер телефона, пишут «забыл пароль», указывают номер телефона, туда приходит смс с кодом. Все.
                                                                              +1
                                                                              При двухфакторной аутентификации родственнику или грабителю нужно ещё знать пароль. Владения телефоном недостаточно.
                                                                                –2
                                                                                Частенько сбросить пароль можно через код подтверждения в SMS-ке.
                                                                                0
                                                                                Кроме другого человека, есть еще куча приложений, которые пользователь ставит на смартфон и разрешает им права на перехват SMS не задумываясь.
                                                                                0
                                                                                Интересно как Twitter Digits отнесется к такому заявлению?
                                                                                  0
                                                                                  Если аутентификация по смс запрещается, то скорей всего будет по ussd запросам «радости полные штаны».
                                                                                  Фтопку привязку мобиллак к интернет ресурсам, не эстетична это дело!
                                                                                    0
                                                                                    Я правильно понимаю, что голосовое сообщение кода тоже может быть перехвачено?
                                                                                      0
                                                                                      Очень не всегда, как правило голос шифруется и пока для расшифровки голосового канала нужно крайне дорогое оборудование перехвата, а трояны на большинстве смартов просто не будут иметь доступа к расшифрованному голосовому каналу.
                                                                                      Таким образом стоимость взлома сильно возрастает, и имеет смысл если вы собрались красть миллиардами — а это как правило делается совершенно на другом уровне и вполне официально.
                                                                                        0
                                                                                        Кстати говоря, в украинском Приватбанке отказались уже несколько месяцев как от СМС-кодов и просто делают вызов на привязанный номер, после ответа клиента робобаба просит нажать на клавиатуре нужную цифру, и получив аудиокод, разъединяет и происходит вход.
                                                                                      +1
                                                                                      Нужно капчу в MMS отправлять и всё =)
                                                                                        +2
                                                                                        Видеозвонком показывать.
                                                                                      • UFO just landed and posted this here
                                                                                          0
                                                                                          >т.е. добавить многофакторности, что усложнит взлом…
                                                                                          И жизнь вместе с ним. Это получится так идентификация с аутентификацией через аутентификацию аутентификации и так много много циклов до полной идентификации.
                                                                                            0
                                                                                            Усложнить надо жизнь взломщику, а не пользователю ресурса.
                                                                                            0
                                                                                            Что-то я не понял логику. SMS можно взломать, а приложение Google, значит, нельзя?
                                                                                              0
                                                                                              СМС не взламывают, СМС перехватывают. В приложения же встроена защита от перехвата.
                                                                                                0
                                                                                                Что-то меня заставляет скептически относиться к подобному утверждению фирмы Google.
                                                                                                  0
                                                                                                  Защита от перехвата встроена в протокол, не нравится гугл, используйте любое другое приложение для 2FA.
                                                                                                    0
                                                                                                    Существует не одно приложение, реализующее TOTP. Стандарт открыт.
                                                                                                    Можете даже сами написать. Или воспользоваться FreeOTP, имеющим открытый исходный код.
                                                                                                +1
                                                                                                В общем, они просто подтвердили известное: двухфакторная аутентификация (код из приложения) безопаснее двухэтапной (SMS). Велик риск перехвата SMS «по пути» или даже банальный перевыпуск вашей сим-карты без вашего участия (российская специфика).

                                                                                                Двухфакторная аутентификация подразумевает создание одноразового пароля непосредственно на устройстве, которым вы обладаете (аппаратный токен или смартфон). Если OTP отправлен в SMS, аутентификация считается двухэтапной.
                                                                                                  0
                                                                                                  Пароль — 1-ый фактор — то, что пользователь знает
                                                                                                  Код из SMS — 2-ой фактор — то, что пользователь имеет. Правильно введенный код из SMS подтверждает владение SIM картой с номером телефона, зарегистрированного на пользователя.

                                                                                                  Полагаю, что вопрос в терминологии «двухфакторная» или «двухэтапная» не в самом методе аутентификации, а в реализации. Если второй фактор у вас спрашивается только после успешно введенного первого, то это двухэтапная, а если оба фактора проверяются одновременно, то двухфакторная.
                                                                                                    0
                                                                                                    Если второй фактор у вас спрашивается только после успешно введенного первого, то это двухэтапная

                                                                                                    То это двухэтапная двухфакторная. Ещё может быть двухэтапапная однофакторная, когда, например, один и тот же фактор запрашивается дважды, например запрашивается пароль при логине, а потом запрашивается он же для смены пароля на новый.
                                                                                                    0
                                                                                                    Согласен, очередное подтверждение, что ничего безопаснее, чем аппаратные бесконтактные токены пока не придумали. Смартфоны уязвимы, SMS можно перехватить, USB-токен подключается к устройству (компьютеру, ноутбуку, планшету), которое также уязвимо.
                                                                                                      0
                                                                                                      Смартфоны уязвимы, но, всё-таки, мне спокойнее довериться своему смартфону, чем SMS. Обеспечение безопасности смартфона целиком в моих руках. А вот симку перевыпустят, невзирая на мои протесты. Я могу добиться того, что в базе оператора сделают пометку «не перевыпускать без личного присутствия владельца», только эта пометка сугубо информативная. Ничто не мешает сотруднику салона связи на неё наплевать, поддавшись на жалобные разводы мошенника или будучи с ним в сговоре.
                                                                                                        0
                                                                                                        Полностью Вас поддерживаю! Выбирая между токеном на смартфоне и SMS, я тоже отдам предпочтение смартфону. Но откажусь и от того, и от другого в пользу аппаратного токена, если будет такая возможность.
                                                                                                    +1
                                                                                                    Надо исходить из простого факта, взломать можно все, перехватить можно все.
                                                                                                    Но ничто не мешает добавить соль к СМС коду. Тогда обычный перехват уже не поможет. А подобрать соль за малое количество переборов будет проблематично.
                                                                                                    Предложение программ от гугла и других подобных, всего-навсего упрощение для неких структур по изъятию кодов использующих механизмы аутентификации. Тут даже думать не надо, что за СМС, все идет по протоколам и складывается куда следует.
                                                                                                    Т.е. в системе ставишь соль к примеру «прибавить 111» или «умножить на 11», а тебе пришла смс 123, вот и сиди складывай (234) и умножай (1353) в уме или локальным спецприложением. Хотя это дело пользователя и надо дать право выбора.
                                                                                                    Но другая проблема, что смартфоны дают полный доступ кому ни поподя, и для СМС надо использовать телефоны десятилетней давности.
                                                                                                      0
                                                                                                      Забавно, что уже после публикации от NIST Social Security Administration ввела MFA через SMS. В любом случае, это выглядит более надежным, чем присылать временный пароль обычной почтой (кое-где и такое бывает).
                                                                                                        0
                                                                                                        Мне кажется возможной такая схема: устанавливаете приложение, которое имеет доступ к полученным СМС и знает закрытый ключ получателя. Смс шифруется окрытым ключом получателя. Как более простой вариант — используется 20 (или более) значный пароль, который генерируется при входе пользователя на сайте банка и пользователь информируется по e-mail, что требуется подверждение сгенерированного пароля. Войдя по e-mail ссылке ему также надо ввести смс-код (обычный).

                                                                                                        Тогда перехват платежной СМС-ки ничего не даст (в ней почти случайный набор знаков типа base64), а установленное приложение (знающее ключ или пароль) покажет нормальный код подтверждения.

                                                                                                        Only users with full accounts can post comments. Log in, please.