Mail.RuПочтаМой МирОдноклассникиИгрыЗнакомстваНовостиПоискВсе проекты
5 октября 2016, Источник: Известия

Минкомсвязи предупредило об опасности SMS-кодов

Представители Минкомсвязи на заседании в Центральном банке заявили, что использование для аутентификации пользователей SMS небезопасно для банков. Более надежный способ — использование генераторов одноразовых паролей с дополнительной криптографической защитой, пишут «Известия».

Почему SMS опасны

Обсуждая вопрос о передаче банкам операторами информации о смене владельца номера телефона, представители Минкомсвязи подчеркнули, что SMS несет существенные риски для безопасности. С другой стороны, это самый распространенный способ аутентификации и самый простой с точки зрения пользователей.

Ежегодно с использованием троянов-перехватчиков SMS из российских банков похищают 50 млн рублей.

Начальник управления дистанционного банковского обслуживания ВТБ24 Елена Дегтева рассказала, что опасен не процесс формирования кода, а SMS-канал для его доставки. Руководитель направления аутсорсинга ИБ компании Solar Security Эльман Бейбутов отмечает, что сейчас существует немало троянских программ, которые перехватывают SMS и отправляют их злоумышленникам. Также за 50 тыс. рублей можно перевыпустить SIM-карту с нужным номером по поддельному паспорту и за пару часов снять все деньги со счета жертвы.

Антивирусный эксперт «Лаборатории Касперского» Денис Легезо считает, что если работать с онлайн-банкингом с потенциально зараженного смартфона, то в SMS смысла немного. Генерировать пароли на стороне пользователя безопаснее – их гораздо сложнее перехватить.

Альтернатива

В Минкомсвязи настаивают, что генераторы одноразовых паролей  (TOTP — Time-based One-time Password Algorithm) с дополнительной криптографической защитой – более безопасный способ аутентификации. Такие сервисы реализованы и российскими, и зарубежными разработчиками в рамках требований стандарта IETF (Internet Engineering Task Force).

TOTP – это приложение, которое сопрягается с определенным сайтом (банка, электронной почты и т.п.) и генерирует одноразовые пароли. Действие каждого из них ограничено по времени – например, в Google Authenticator пароль действителен 30 секунд, потом создается новый.

С другой стороны, если пользователь теряет телефон, то с переустановкой таких приложений и привязкой к новому устройству могут возникнуть сложности.

В ВТБ в качестве альтернативы используют канал Push и технологию генерации кода подтверждений для Visa и MasterCard (CAP/DPA) в специальном приложении «Токен ВТБ24-онлайн», которое работает автономно, без интернета. Еще один вариант – генерация QR-кодов, которые отображаются на экране и считываются смартфоном.

Расскажите друзьям о безопасных методах аутентификации — нажмите на одну из кнопок ниже
Комментарии
21
Fallen Angel
В принципе, мысли правильные, но с перепривязкой могут возникнуть сложности ....
А генератор одноразовых паролей можно интегрировать с приложениями клиентами например..
СсылкаПожаловаться
Чудо-корень
Дочитал до "Антивирусный эксперт «Лаборатории Касперского..." дальше стало все понятно.
СсылкаПожаловаться
DV
В ответ на комментарий от Xenos WIGHT История переписки2
Xenos WIGHT
В банке им. Зелёного Пакмана одно время были одноразовые пароли. Если карта не привязана к сотовому - архинадёжная вещь.
СсылкаПожаловаться
"банк им. Зеленого Пакмэна" - звучит прикольно. Ты сделал мой день! )))
Есть банк в Таиланде расцветкой похожий на банк им. Зеленого Пакмэна и так сильно задолбали местных русскоговорящих аборигенов туристы вопросом: "Ну здесь где-то должен быть терминал сбера, скажите где он?". Что русскоговорящие аборигены устали объяснять отсутствие оного банка и стали отсылать туриков на 16-ую сою (16 переулок) - там серьезно есть банкомат оооочень похожий цветами. Что примечательно, 16-ая сойка - это рассадник услуг геев и трансов. Даже местные работники сойки стали этот банкомат называть "сбэл-бэнк" (путают они Р и Л) и перестали удивляться группкам русских туристов и на вопрос по-русски "а хде тут сбер-банк?" показывали дорогу к банкомату ))))
СсылкаПожаловаться
Чтобы оставить комментарий, вам нужно авторизоваться.
Обнаружили ошибку? Выделите ее и нажмите Ctrl+Enter.
Hi-Tech Mail.Ru
Apple iPhone 7 32GB
от43 400руб.
Apple iPhone 6S 32GB
от35 740руб.
Samsung Galaxy A5 (2016)
от17 700руб.
Apple iPhone SE 64GB
от31 000руб.
Meizu M3 Note 16GB
от9 490руб.
Samsung Galaxy S7 32GB
от32 500руб.
Xiaomi Redmi 3S Pro 32GB
от9 131руб.
Apple iPhone 7 128GB
от51 500руб.
Samsung Galaxy S7 Edge 32GB
от37 000руб.
Samsung Galaxy A3 (2016)
от14 000руб.
Подпишитесь на нас
Новости Hi-Tech Mail.Ru