Mail.RuПочтаМой МирОдноклассникиИгрыЗнакомстваНовостиПоискВсе проекты
Рассылка
Получайте главные новости дня от Hi-Tech Mail.Ru
5 октября 2016, Источник: Известия

Минкомсвязи предупредило об опасности SMS-кодов

Представители Минкомсвязи на заседании в Центральном банке заявили, что использование для аутентификации пользователей SMS небезопасно для банков. Более надежный способ — использование генераторов одноразовых паролей с дополнительной криптографической защитой, пишут «Известия».

Почему SMS опасны

Обсуждая вопрос о передаче банкам операторами информации о смене владельца номера телефона, представители Минкомсвязи подчеркнули, что SMS несет существенные риски для безопасности. С другой стороны, это самый распространенный способ аутентификации и самый простой с точки зрения пользователей.

Ежегодно с использованием троянов-перехватчиков SMS из российских банков похищают 50 млн рублей.

Начальник управления дистанционного банковского обслуживания ВТБ24 Елена Дегтева рассказала, что опасен не процесс формирования кода, а SMS-канал для его доставки. Руководитель направления аутсорсинга ИБ компании Solar Security Эльман Бейбутов отмечает, что сейчас существует немало троянских программ, которые перехватывают SMS и отправляют их злоумышленникам. Также за 50 тыс. рублей можно перевыпустить SIM-карту с нужным номером по поддельному паспорту и за пару часов снять все деньги со счета жертвы.

Антивирусный эксперт «Лаборатории Касперского» Денис Легезо считает, что если работать с онлайн-банкингом с потенциально зараженного смартфона, то в SMS смысла немного. Генерировать пароли на стороне пользователя безопаснее – их гораздо сложнее перехватить.

Альтернатива

В Минкомсвязи настаивают, что генераторы одноразовых паролей  (TOTP — Time-based One-time Password Algorithm) с дополнительной криптографической защитой – более безопасный способ аутентификации. Такие сервисы реализованы и российскими, и зарубежными разработчиками в рамках требований стандарта IETF (Internet Engineering Task Force).

TOTP – это приложение, которое сопрягается с определенным сайтом (банка, электронной почты и т.п.) и генерирует одноразовые пароли. Действие каждого из них ограничено по времени – например, в Google Authenticator пароль действителен 30 секунд, потом создается новый.

С другой стороны, если пользователь теряет телефон, то с переустановкой таких приложений и привязкой к новому устройству могут возникнуть сложности.

В ВТБ в качестве альтернативы используют канал Push и технологию генерации кода подтверждений для Visa и MasterCard (CAP/DPA) в специальном приложении «Токен ВТБ24-онлайн», которое работает автономно, без интернета. Еще один вариант – генерация QR-кодов, которые отображаются на экране и считываются смартфоном.

Расскажите друзьям о безопасных методах аутентификации — нажмите на одну из кнопок ниже
Отписаться от рассылки
Подписаться на рассылку
Хиты продаж и новинки
Самые лучшие цены на смартфоны
Комментарии
21
Fallen Angel
В принципе, мысли правильные, но с перепривязкой могут возникнуть сложности ....
А генератор одноразовых паролей можно интегрировать с приложениями клиентами например..
СсылкаПожаловаться
Чудо-корень
Дочитал до "Антивирусный эксперт «Лаборатории Касперского..." дальше стало все понятно.
СсылкаПожаловаться
DV
В ответ на комментарий от Xenos WIGHT История переписки2
Xenos WIGHT
В банке им. Зелёного Пакмана одно время были одноразовые пароли. Если карта не привязана к сотовому - архинадёжная вещь.
СсылкаПожаловаться
"банк им. Зеленого Пакмэна" - звучит прикольно. Ты сделал мой день! )))
Есть банк в Таиланде расцветкой похожий на банк им. Зеленого Пакмэна и так сильно задолбали местных русскоговорящих аборигенов туристы вопросом: "Ну здесь где-то должен быть терминал сбера, скажите где он?". Что русскоговорящие аборигены устали объяснять отсутствие оного банка и стали отсылать туриков на 16-ую сою (16 переулок) - там серьезно есть банкомат оооочень похожий цветами. Что примечательно, 16-ая сойка - это рассадник услуг геев и трансов. Даже местные работники сойки стали этот банкомат называть "сбэл-бэнк" (путают они Р и Л) и перестали удивляться группкам русских туристов и на вопрос по-русски "а хде тут сбер-банк?" показывали дорогу к банкомату ))))
СсылкаПожаловаться
Чтобы оставить комментарий, вам нужно авторизоваться.
Обнаружили ошибку? Выделите ее и нажмите Ctrl+Enter.
Подпишитесь на нас
Новости Hi-Tech Mail.Ru