Комментарии 19
В сочетании с этой новостью выглядит интригующе.
Сижу в зоне отсутствия приема сотовой сети. Зато к дому дотянули оптику из ближайшего города (не дорого, разом весь СНТ окучили, так что с носа вышло норм, а абонентка от 500р)
Кроме "горите в аду" слов нет.
Да, вот эти же слова крутятся) недавно еще умудрился аккаунт Authy потерять, так как он оказывается привязывается к телефону... короче потерял номер, а получить доступ к аутентификаторам без телефона невозможно в итоге тот же github 3 дня восстанавливал доступ... некоторые не смог восстановить или зависли на переписке с саппортом...
О том, как построить надёжную систему киберзащиты и обезопасить профили своих клиентов от взлома
А то, что "перевыпуск" сим-карт стал способом взлома мессенджеров ещё лет 8 назад, это вы забыли? И то, что лидировал в этом МТС, тоже забыли?
а что за "фактор знания" в получении смс? там же только владеть телефоном/симкой надо
"знание" - это как раз пароль, который хранится в голове.
получается - идентификация через смс однофакторная, причем единственный фактор довольно ненадежный.
С текущей геополитической ситуацией и перемещением между странами, получение SMS становится не самой простой задачей.
Пришлось перейти на аутентификаторы разные или вернуться к 2FA через почту, а некоторые аккаунты (такие как amazon и AWS утеряны безвозвратно! спасибо компаниям Amazon и Мегафон за клиентоориентированность!)
Если пользователь входит в систему впервые, под его номер создаётся новая учётная запись. Если телефон совпадает с уже существующим аккаунтом, человек проходит проверку и допускается в свой профиль.
Не самый лучший алгоритм, благодаря ему в том же мвидео у меня было 3 аккаунта, потому что я не мог запомнить какой из моих номеров прикреплен. То есть просто понять, создается ли новый аккаунт или используется старый невозможно... начинаешь прикреплять почту и тут выясняется что такой аккаунт уже есть с другим номером телефона...
2FA на основе почтовых сообщений предлагает тот же Cloudflare из коробки. Мне лично стало неудобно пользоваться SMS в условиях постоянных переездов и разъездов между разными странами и постоянно гадать придет ли SMS или не придет, будет ли тут работать роуминг или нет, а будет ли зарубежный сервис работать с российскими номерами, а будет ли турецкий номер работать в такой-то стране... лично я буду по максимуму уходить от SMS-аутентификации, может только для банковских транзакций оставлю, остальное даже не знаю...
Вот недавно кстати узнал что арендованный номер в Skype умеет получать SMS и внезапно аренда американского номера дешевле Российского...
С каких это пор отправка смс на каждый вход пользователя дешевле, чем один раз написаный сервис авторизации?
Статья - иллюстрация, как нормальный сервис можно скомпрометировать недобросовестным продвижением :) Рассказы, что это якобы повышает безопасность, что это у нас 2FA и т.п. - вызывают понятную реакцию.
А ведь сама по себе такая аутентификация имеет право на существование. Во-первых, если сервис не критичный (какой-нибудь онлайн-магазин - ну зачем его ломать? историю покупок посмотреть и бонусы на 100 рублей использовать? ну и потеряешь вход в аккаунт - так создашь новый, тоже не страшно) Во-вторых, если это не единственный способ, а одна из опций.
Пользователи Хабра, конечно, сразу проецируют на себя - и логично, что продвинутый пользователь такую опцию не выберет. Но так-то большинство рядовых обывателей ни про какие менеджеры паролей не слышали, электронная почта у них тоже не всегда под рукой (в тяжёлом случае они и пароль к ней забывают регулярно и заводят новую по несколько раз в год, когда она нужна для очередной регистрации где-то), - и им реально получить СМС проще всего. Так что пусть будет, если они осознанно выберут такой способ.
P.S. А вот за безальтернативную привязку к СМС (хоть вместо пароля, хоть вместе с ним) авторов такой схемы в аду ждёт бесконечное повторение одной и той же истории - они приезжают на другой конец света, там у них тут же подыхает СИМ-карта и они вынуждены разворачиваться и лететь обратно, чтобы её восстановить... и так до второго пришествия :)
какой-нибудь онлайн-магазин - ну зачем его ломать?
А в онлайн магазине привязана карточка и чудом 3ds не всплывает.
Злоумышленник заказывает что-нибудь ликвидное на подставное лицо - чистый профит без напряга.
ну и потеряешь вход в аккаунт - так создашь новый, тоже не страшно
Может быть критично в случае корпоративного клиента или если есть какая-нибудь бонусная программа со скидкой, которая растёт от суммы покупок.
Интересно, почему есть так много сервисов одноразовых номеров для приема смс..
SMS-идентификация проводится на основании двух факторов:
фактор знания (наличие кода)
вещественный фактор (телефон с нужным номером)
А при получении доступа к телефону СМС-код остается в тайне? И нужен ли доступ к телефону, если человек знает код? Это не выглядит как несколько факторов...
Но основное преимущество беспарольной SMS-авторизации — это продвинутая киберзащита, которая намного лучше обходит хакерские ловушки.
Не существует никаких "хакерских ловушек" и мифических "продвинутых киберзащит". Существуют конкретные технические проблемы, которые эксплуатируются злоумышленниками, и конкретные методы защиты. Тут нет магии и волшебных ловушек.
Использование многоразовых кодов требует вложений: на содержание техотдела, контроль безопасности системы аутентификации, приобретение спецоборудования, софта и так далее.
А СМС этого не требуют?
Если хотите построить безопасный сервис, то не читайте рекламные статьи на Хабре. А то следующая статья от другой компании будет рассказывать, как вы неправильно все сделали, что воспользовались не их инструментом.
SMS-идентификация проводится на основании двух факторов:
фактор знания (наличие кода)
вещественный фактор (телефон с нужным номером)
Чтобы был фактор знания/наличия кода нужен этот самый код — то есть пароль, который знают обе стороны до начала операции.
Вещественный фактор в виде телефона — это не фактор, потому что вся переписка SMS'ками не является секретной. Ее видят все эти СОРМы и хранят по пол-года. Ну и генерировать SMS надо у себя на сайте, а не на каком-то левом сервере. Итог: в этой схеме нет ни одного фактора.
СМС стоит денег
Симку с некоторых контрактов увести не так уж и сложно
Вся безопасность строится на том, что смартфон клиента защищен на 146%
Сервис несложно затролить просто долбя логинами в три часа ночи, чтобы клиенты получили тонну СМС
Кстати, а чего сложного в реализации ОТП через СМС, или любой другой канал? Генерация? Дернуть API сервис провайдера для оправки сообщения?
У меня сложилось ощущение, что статья вообще не о том, а неудачная реклама сервиса
Интересно услышать ответ МТС-а на вопрос: Раз вы считаете что авторизация по СМС такая классная, удобная, безопасная и по какой-то причине выгодная, почему бы не сделать её в своём же сервисе exolve? Логин и пароль по старинке. Как старомодно...
Думаю, для начала стоит разобраться с терминологией, а то судя по тексту идентификация и аутентификация - это одно и тоже и по тексту они взаимозаменяют друг друга. Но это разные понятия и за ними стоят разные процессы.
Ага, конечно...
Минусы СМС:
Должна быть сеть оператора (привет роуминг)
Захват симки или перехват СМС
Фишинговые сайты отлично нарисуют форму для ввода кода из СМС
Поди ещё дождись эту СМС
Что нужно:
Что-то, что работает в оффлайне
Основано на криптографии с открытым/закрытым ключом
И работает со множества устройств (т.е. факт потери одной симки не должен равняться потере доступа)
Не поддаётся фишинговой атаке
И работает так быстро, как быстро я могу приложить палец к телефону или компьютеру
Вот для этого и сделали FIDO2 WebAuthN, читайте тут https://developer.mozilla.org/en-US/docs/Web/API/Web_Authentication_API
Демо и код ищите тут https://webauthn.io/ или https://fido2-net-lib.passwordless.dev/passwordless#heroFoot
Некоторые сегодня вообще делают сие как замену паролю и второму фактуру, а если хотите по SCA по категориям оценить, то пасскей девайс = фактор владения, а пароль к нему = знание (или face id/touch id = биометрия)
А код из СМС это не фактор знания, только владение, ибо подтверждает лишь наличие у вас девайса, который СМС принимает. Знание оно чуть более константное (как пароль)
Так что эти СМС коды должны кануть в Лету, как страшный сон, а компании, которые через год или два СМС всё ещё будут навязывать – динозавры, клиентами коих быть нельзя
На самом деле задумка так то интересная, но всегда хромает итоговая реализация. Очень странно привязываться исключительно к "номеру" и "смс" пользователя, учитывая что SIM-карты (именно SIM, а не E-SIM) имеют 2 неприятных момента:
1). SIM-карты со временем имеют свойство "размагничиваться", т.е. тебе для восстановления доступа по SMS нужно как минимум зайти в офис продаж того же мобильного оператора для восстановления доступа, и отсюда, мы плавно перетекаем во второй пункт;
2). Привязка SIM-карты пользователя к РЕГИОНУ открытия! Операторы, прежде чем переходить на такие технологии, разберитесь сначала с тем, что человек не может просто "перевыпустить" симку другого региона! Т.е. если я оформил номер в Самаре, то уже живя в Питере я не могу просто "перевыпустить" симку, т.к. она привязка к другому региону, менеджер офиса продаж скорее всего даже в биллинге не увидит данные по симке )))
P.S. По второму пункту правда отдать должное МТС, в Москве вроде как можно в некоторых офисах перевыпустить с другого региона.
Как SMS-аутентификация без пароля может улучшить ваше приложение