Чому SMS небезпечні

Мінкомзв’язку попередило про небезпеку SMS-кодів

Представники Мінкомзв’язку на засіданні в Центральному банку заявили, що використання для аутентифікації користувачів SMS небезпечно для банків. Більш надійний спосіб – використання генераторів одноразових паролів з додатковою криптографічним захистом, пишуть «Известия».

Чому SMS небезпечні

Обговорюючи питання про передачу банкам операторами інформації про зміну власника номера телефону, представники Мінкомзв’язку підкреслили, що SMS несе істотні ризики для безпеки. З іншого боку, це найпоширеніший спосіб аутентифікації і найпростіший з точки зору користувачів.
Щорічно з використанням троянів-перехоплювачів SMS з російських банків викрадають 50 млн рублів.
Начальник управління дистанційного банківського обслуговування ВТБ24 Олена Дегтева розповіла, що небезпечний не процес формування коду, а SMS-канал для його доставки. Керівник напрямку аутсорсингу ІБ компанії Solar Security Ельман Бейбутов зазначає, що зараз існує чимало троянських програм, які перехоплюють SMS і відправляють їх зловмисникам. Також за 50 тис. Рублів можна перевипустити SIM-карту з потрібним номером за підробленим паспортом і за пару годин зняти всі гроші з рахунку жертви.
Антивірусний експерт «Лабораторії Касперського» Денис Легеза вважає, що якщо працювати з онлайн-банкінгом з потенційно зараженого смартфона, то в SMS сенсу небагато. Генерувати паролі на стороні користувача безпечніше – їх набагато складніше перехопити.
альтернатива
У Мінкомзв’язку наполягають, що генератори одноразових паролів (TOTP – Time-based One-time Password Algorithm) з додатковою криптографічним захистом – більш безпечний спосіб аутентифікації. Такі сервіси реалізовані і російськими, і зарубіжними розробниками в рамках вимог стандарту IETF (Internet Engineering Task Force).

TOTP – це програма, яка сполучається з певним сайтом (банку, електронної пошти і т.п.) і генерує одноразові паролі. Дія кожного з них обмежена за часом – наприклад, в Google Authenticator пароль дійсний 30 секунд, потім створюється новий.
З іншого боку, якщо користувач втрачає телефон, то з перевстановлення таких додатків і прив’язкою до нового пристрою можуть виникнути складності.
У ВТБ в якості альтернативи використовують канал Push і технологію генерації коду підтверджень для Visa і MasterCard (CAP / DPA) в спеціальному додатку «Токен ВТБ24-онлайн», яке працює автономно, без інтернету. Ще один варіант – генерація QR-кодів, які відображаються на екрані і зчитуються смартфоном.

Хай-тек:

Comments are closed.