При платежах SMS-коды заменят одноразовые пароли?

В Минкомсвязи России рекомендуют вместо SMS—кодов использовать генерацию одноразовых паролей на стороне пользователя.

3 октября в Центральном банке РФ прошло заседание с участием операторов связи «большой тройки», представителей ЦБ и отраслевых ассоциаций. После обсуждения вопроса передачи банкам от операторов связи информации об изменении владельца номера телефона было также уделено внимание и вопросу использования SMS для аутентификации. В частности, представитель Минкомсвязи сделал заявление, что операция такого рода является небезопасной.

В пресс-службе Минкомсвязи информацию подтвердили, а также прокомментировали, что министерство продолжит работу с ЦБ для обеспечения безопасности граждан и их денег:

«Использование SMS для аутентификации несет существенные риски для безопасности, и необходимо использование других, более безопасных способов, таких как применение генераторов одноразовых паролей (TOTP — Time-based One-time Password Algorithm) с дополнительной криптографической защитой. Соответствующие приложения и сервисы реализованы как отечественными, так и зарубежными компаниями и стандартизованы в документах IETF (Internet Engineering Task Force)».

«Яндекс.Ключ» или Google Authenticator — сервисы, которые используются для создания одноразовых паролей. Пользователи устанавливают соответствующее приложение на мобильное устройство. После его сопряжения с сайтом начинается генерация одноразовых паролей, и действие каждого ограничено по времени. После этого при заходе на сайт вместо старого пароля необходимо будет ввести пароль, который предложит приложение.

К обсуждению проблемы подключились аналитики и специалисты рынка телекоммуникаций, банковской сферы. Представитель компании «Вымпелком» заметил, что SMS является самым распространенным и доступным каналом аутентификации с точки зрения пользователей и географии действия услуги.

«За последние пять лет не было зарегистрировано ни одного случая компрометации с их использованием. Практика показывает, что SMS-коды обеспечивают высокий уровень безопасности, если клиент соблюдает базовые принципы безопасности: хранит в тайне пароли, коды для подтверждения, использует антивирусы», – отмечает заместитель руководителя департамента розничных продуктов, электронного бизнеса и CRM банка ВТБ Александр Солонин.

Специалисты сходятся во мнении, что уязвимость представляет не сама технология формирования кода, а SMS-канал, по которому происходит его доставка от банка клиенту.

«Уязвимость данного канала ни для кого не является секретом, в том числе и для нас, а потому SMS-коды — это далеко не единственный способ аутентификации, применяемый в банке», — говорит Елена Дегтева, начальник управления дистанционного банковского обслуживания ВТБ24.

Аналитики по кибербезопасности подвергают сомнению полную защищенность SMS-аутентификации. В частности, руководитель направления аутсорсинга ИБ компании Solar Security Эльман Бейбутов приводит практический пример: «Существует несколько способов компрометации такого канала передачи информации. Во-первых, существуют трояны для перехвата SMS с кодами и отправки их злоумышленнику. По такой схеме ежегодно похищается более 50 млн рублей со счетов россиян в различных российских банках. Во-вторых, можно перевыпустить SIM-карту с номером потенциальной жертвы по поддельному паспорту или по сговору с сотрудником салона связи. Это недорого — порядка 50 тыс. рублей на черном рынке за одну SIM-карту. Получив дубликат SIM-карты, злоумышленник активирует ее в сети оператора, обычно в ночное время, и за пару часов переводит все деньги из интернет-банка жертвы на подконтрольные счета в других финансовых организациях, после чего происходит практически мгновенное обналичивание денежных средств через банкоматы».

Представители служб кибербезопасности банков заверили, что по мере развития и проникновения технологий, банки планируют переходить на современные инструменты генерации одноразовых паролей. Кроме этого финансовые учреждения прорабатывают альтернативные способы аутентификации вдобавок к уже внедренным с перспективой полной миграции с SMS на более защищенные каналы.