Comments 5
За последние несколько лет специалисты по безопасности все чаще отказывались от 2FA на основе текстовых сообщений SMS по двум причинам: злоумышленники могут контролировать телефонные номера пользователей, выдавая себя за владельцев и заставляя оператора поменять SIM-карту, и SMS-сообщения могут быть перехвачены из-за слабости протокола маршрутизации, который используют сотовые операторы.
Эмм, думаю, основная причина всё же в том, что 2FA по номеру телефона позволяет вебсервису связать аккаунт пользователя (безликую сущность, идентифицируемую только логином и email) с реальной личностью (владельцем телефона), что ставит крест на анонимности.
Никто и не ожидает, что вебсервис будет предпринимать хоть какие-то усилия по сохранению анонимности. Именно поэтому отдать # телефона = совершить свою часть работы по деанонимизации себя добровольно, собственными руками и со 100% вероятностью. Оставшуюся часть работы вебсервис с радостью сделает и при этом ещё останется в рамках закона (например отдаст рекламодателям или своим дочерним сервисам ПД юзера, это наверняка прописано в TOS), в отличие от обеспечения безопасности СМС-аутентификации, которая лежит на сотовом операторе (и/или на банке, например) и за нарушение которой они вообще-то несут ответственность.
Twitter признал. Ещё компания признается. И ещё.
Но ничего же за это не будет. Кто пользовался, тот и продолжит пользоваться, кого волновало — тот не пользовался и не будет.
Twitter признал, что использовал данные двухфакторной аутентификации для таргетирования рекламы