НовостиОбзорыВсе о нейросетяхБытовая техника 2024ГаджетыТехнологииНаукаСоцсетиЛайфхакиFunПромокодыСтранные вопросыЭксперты

Минкомсвязи предупредило об опасности SMS-кодов

5 октября 2016
Представители Минкомсвязи на заседании в Центральном банке заявили, что использование для аутентификации пользователей SMS небезопасно для банков. Более надежный способ — использование генераторов одноразовых паролей с дополнительной криптографической защитой, пишут «Известия».

Почему SMS опасны

Обсуждая вопрос о передаче банкам операторами информации о смене владельца номера телефона, представители Минкомсвязи подчеркнули, что SMS несет существенные риски для безопасности. С другой стороны, это самый распространенный способ аутентификации и самый простой с точки зрения пользователей.

Ежегодно с использованием троянов-перехватчиков SMS из российских банков похищают 50 млн рублей.

Начальник управления дистанционного банковского обслуживания ВТБ24 Елена Дегтева рассказала, что опасен не процесс формирования кода, а SMS-канал для его доставки. Руководитель направления аутсорсинга ИБ компании Solar Security Эльман Бейбутов отмечает, что сейчас существует немало троянских программ, которые перехватывают SMS и отправляют их злоумышленникам. Также за 50 тыс. рублей можно перевыпустить SIM-карту с нужным номером по поддельному паспорту и за пару часов снять все деньги со счета жертвы.

Антивирусный эксперт «Лаборатории Касперского» Денис Легезо считает, что если работать с онлайн-банкингом с потенциально зараженного смартфона, то в SMS смысла немного. Генерировать пароли на стороне пользователя безопаснее – их гораздо сложнее перехватить.

Альтернатива

В Минкомсвязи настаивают, что генераторы одноразовых паролей (TOTP — Time-based One-time Password Algorithm) с дополнительной криптографической защитой – более безопасный способ аутентификации. Такие сервисы реализованы и российскими, и зарубежными разработчиками в рамках требований стандарта IETF (Internet Engineering Task Force).

TOTP – это приложение, которое сопрягается с определенным сайтом (банка, электронной почты и т.п.) и генерирует одноразовые пароли. Действие каждого из них ограничено по времени – например, в Google Authenticator пароль действителен 30 секунд, потом создается новый.

С другой стороны, если пользователь теряет телефон, то с переустановкой таких приложений и привязкой к новому устройству могут возникнуть сложности.

В ВТБ в качестве альтернативы используют канал Push и технологию генерации кода подтверждений для Visa и MasterCard (CAP/DPA) в специальном приложении «Токен ВТБ24-онлайн», которое работает автономно, без интернета. Еще один вариант – генерация QR-кодов, которые отображаются на экране и считываются смартфоном.