Мінкомзв’язку попередило про небезпеку SMS-кодів
Представники Мінкомзв’язку на засіданні в Центральному банку заявили, що використання для аутентифікації користувачів SMS небезпечно для банків. Більш надійний спосіб — використання генераторів одноразових паролів з додатковою криптографічним захистом, пишуть «Известия».
Чому SMS небезпечні
Обговорюючи питання про передачу банкам операторами інформації про зміну власника номера телефону, представники Мінкомзв’язку підкреслили, що SMS несе істотні ризики для безпеки. З іншого боку, це найпоширеніший спосіб аутентифікації і найпростіший з точки зору користувачів.
Щорічно з використанням троянів-перехоплювачів SMS з російських банків викрадають 50 млн рублів.
Начальник управління дистанційного банківського обслуговування ВТБ24 Олена Дегтева розповіла, що небезпечний не процес формування коду, а SMS-канал для його доставки. Керівник напрямку аутсорсингу ІБ компанії Solar Security Ельман Бейбутов зазначає, що зараз існує чимало троянських програм, які перехоплюють SMS і відправляють їх зловмисникам. Також за 50 тис. Рублів можна перевипустити SIM-карту з потрібним номером за підробленим паспортом і за пару годин зняти всі гроші з рахунку жертви.
Антивірусний експерт «Лабораторії Касперського» Денис Легеза вважає, що якщо працювати з онлайн-банкінгом з потенційно зараженого смартфона, то в SMS сенсу небагато. Генерувати паролі на стороні користувача безпечніше — їх набагато складніше перехопити.
альтернатива
У Мінкомзв’язку наполягають, що генератори одноразових паролів (TOTP — Time-based One-time Password Algorithm) з додатковою криптографічним захистом — більш безпечний спосіб аутентифікації. Такі сервіси реалізовані і російськими, і зарубіжними розробниками в рамках вимог стандарту IETF (Internet Engineering Task Force).
TOTP — це програма, яка сполучається з певним сайтом (банку, електронної пошти і т.п.) і генерує одноразові паролі. Дія кожного з них обмежена за часом — наприклад, в Google Authenticator пароль дійсний 30 секунд, потім створюється новий.
З іншого боку, якщо користувач втрачає телефон, то з перевстановлення таких додатків і прив’язкою до нового пристрою можуть виникнути складності.
У ВТБ в якості альтернативи використовують канал Push і технологію генерації коду підтверджень для Visa і MasterCard (CAP / DPA) в спеціальному додатку «Токен ВТБ24-онлайн», яке працює автономно, без інтернету. Ще один варіант — генерація QR-кодів, які відображаються на екрані і зчитуються смартфоном.