Комментарии 32
Автор, я бы сделал коррекцию в тексте, а то по смыслу вы приносите негатив на технологию в общем.
Правда, сценарий закрытия границ из-за карантина, что воспрепятствует замене этой SIMки в случае утери/порчи, не учёл, по ходу :(
В течение 24 часов может быть ограничено поступление SMS от банков
возможно ключевое слово здесь может.
Удобство vs безопасность.
Нужно теперь два телефона носить, заряжать, пополнять?
Забыл взять/зарядить “редко нужный телефон, на который никогда никто не звонит» — именно в этот момент очередной сервис вдруг включит параноика и попросит код подтверждения. А он дома лежит в сейфе.
Я пробовал заводить для таких целей отдельный телефон-звонилку с отдельным номером, но это добавляет столько головной боли, что пришлось от схемы отказаться, и ограничиться включением двухфакторки через приложение andOTP везде, где можно (~20 сервисов в списке), и регулярно делать шифрованный бэкап приложения в офлайн-хранилище дома.
От сценария кражи/утери телефона/кошелька, конечно, не спасает (ну так и второй телефон, если он не в сейфе, — тоже), но если защищаемся в основном от риска перевыпуска карты — вполне.
Основная проблема — банки. Кто знает возможен ли в Сбере способ подтверждения кроме СМС?
Ни из предыдущей статьи, ни из этой не становится понятно, чем же именно плоха смс аутентификация как второй фактор. Это именно второй фактор, что предполагает, что он бесполезен, если нет первого. То есть даже если вы угнали симку, то вы не получите доступ, если не знаете логин и пароль. И вся схема работает только совместно с социальной инженерией, например.
Ну или приведите, пожалуйста, пример, как можно похитить эккаунт, только завладев симкой, без применения социальной инженерии или троянов.
приведите, пожалуйста, пример, как можно похитить эккаунт, только завладев симкойwhatsapp
К переписке доступ не получишь, но акк — пожалуйста.
приведите, пожалуйста, пример, как можно похитить аккаунт, только завладев симкойНапример, vk.com (Восстановление пароля через СМС)
А если рассматривать СМС в формате второго фактора: да, это лишь часть системы аутентификации, но, как мне кажется, возникает вопрос надежности этого фактора. Перехват СМС, потеря телефона, недобросовестный сотрудник оператора, подделка доверенности на SIM — довольно много точек отказа. Конечно, любой фактор может быть скомпрометирован, и тот же OTP, а о классических паролях даже говорить не стоит. Но для уменьшения рисков, на мой взгляд, вполне резонно заменить СМС на другой фактор или хотя бы сделать отдельный номер под эти нужды.
если не знаете логин и пароль
А теперь коронный вопрос: как восстановить пароль, если его забыли? Многие сервисы при включенной 2FA шлют SMS для восстановления пароля на этот же номер
Попробуйте побыть с другой стороны экрана: откройте приватный режим и попытайтесь зайти например в гуглоаккаунт, зная логин.
ЕМНИП, большинство сервисов все равно предлагает выслать код через SMS, если по какой-то причине недоступен TOTP (потеряно устройство или список резервных ключей). Так что совет с "секретным" номером телефона будет более актуальным
Чем плоха СМС-аутентификация и как защититься от угона SIM-карты