В Минкомсвязи России рекомендуют вместо SMS—кодов использовать генерацию одноразовых паролей на стороне пользователя.
3 октября в Центральном банке РФ прошло заседание с участием операторов связи «большой тройки», представителей ЦБ и отраслевых ассоциаций. После обсуждения вопроса передачи банкам от операторов связи информации об изменении владельца номера телефона было также уделено внимание и вопросу использования SMS для аутентификации. В частности, представитель Минкомсвязи сделал заявление, что операция такого рода является небезопасной.
В пресс-службе Минкомсвязи информацию подтвердили, а также прокомментировали, что министерство продолжит работу с ЦБ для обеспечения безопасности граждан и их денег:
«Использование SMS для аутентификации несет существенные риски для безопасности, и необходимо использование других, более безопасных способов, таких как применение генераторов одноразовых паролей (TOTP — Time-based One-time Password Algorithm) с дополнительной криптографической защитой. Соответствующие приложения и сервисы реализованы как отечественными, так и зарубежными компаниями и стандартизованы в документах IETF (Internet Engineering Task Force)».
«Яндекс.Ключ» или Google Authenticator — сервисы, которые используются для создания одноразовых паролей. Пользователи устанавливают соответствующее приложение на мобильное устройство. После его сопряжения с сайтом начинается генерация одноразовых паролей, и действие каждого ограничено по времени. После этого при заходе на сайт вместо старого пароля необходимо будет ввести пароль, который предложит приложение.
К обсуждению проблемы подключились аналитики и специалисты рынка телекоммуникаций, банковской сферы. Представитель компании «Вымпелком» заметил, что SMS является самым распространенным и доступным каналом аутентификации с точки зрения пользователей и географии действия услуги.
«За последние пять лет не было зарегистрировано ни одного случая компрометации с их использованием. Практика показывает, что SMS-коды обеспечивают высокий уровень безопасности, если клиент соблюдает базовые принципы безопасности: хранит в тайне пароли, коды для подтверждения, использует антивирусы», – отмечает заместитель руководителя департамента розничных продуктов, электронного бизнеса и CRM банка ВТБ Александр Солонин.
Специалисты сходятся во мнении, что уязвимость представляет не сама технология формирования кода, а SMS-канал, по которому происходит его доставка от банка клиенту.
«Уязвимость данного канала ни для кого не является секретом, в том числе и для нас, а потому SMS-коды — это далеко не единственный способ аутентификации, применяемый в банке», — говорит Елена Дегтева, начальник управления дистанционного банковского обслуживания ВТБ24.
Аналитики по кибербезопасности подвергают сомнению полную защищенность SMS-аутентификации. В частности, руководитель направления аутсорсинга ИБ компании Solar Security Эльман Бейбутов приводит практический пример: «Существует несколько способов компрометации такого канала передачи информации. Во-первых, существуют трояны для перехвата SMS с кодами и отправки их злоумышленнику. По такой схеме ежегодно похищается более 50 млн рублей со счетов россиян в различных российских банках. Во-вторых, можно перевыпустить SIM-карту с номером потенциальной жертвы по поддельному паспорту или по сговору с сотрудником салона связи. Это недорого — порядка 50 тыс. рублей на черном рынке за одну SIM-карту. Получив дубликат SIM-карты, злоумышленник активирует ее в сети оператора, обычно в ночное время, и за пару часов переводит все деньги из интернет-банка жертвы на подконтрольные счета в других финансовых организациях, после чего происходит практически мгновенное обналичивание денежных средств через банкоматы».
Представители служб кибербезопасности банков заверили, что по мере развития и проникновения технологий, банки планируют переходить на современные инструменты генерации одноразовых паролей. Кроме этого финансовые учреждения прорабатывают альтернативные способы аутентификации вдобавок к уже внедренным с перспективой полной миграции с SMS на более защищенные каналы.
- Like
- Digg
- Del
- Tumblr
- VKontakte
- Flattr
- Buffer
- Love This
- Odnoklassniki
- Meneame
- Blogger
- Amazon
- Yahoo Mail
- Gmail
- AOL
- Newsvine
- HackerNews
- Evernote
- MySpace
- Mail.ru
- Viadeo
- Line
- Comments
- Yummly
- SMS
- Viber
- Telegram
- Subscribe
- Skype
- Facebook Messenger
- Kakao
- LiveJournal
- Yammer
- Edgar
- Fintel
- Mix
- Instapaper
- Copy Link