Двухфакторная аутентификация: еще раз о рисках при использовании SMS и голосовых вызовов

    Около недели назад журналист Кристофер Мимс (Christopher Mims), опубликовал в статье, посвященной двухфакторной аутентификации, пароль от своей учетной записи в Twitter-е. Это было достаточно смело, если не сказать глупо.
    Всего через пару дней Кристофер был вынужден не только сменить пароль, но и поменять номер мобильного телефона. Причина проста — после ввода пароля, Twitter показывает на какой номер телефона высылается одноразовый код (к слову сказать, многие другие сервисы так не делают, скрывая некоторые цифры). То есть, номер телефона известен, и его можно использовать: например послать кому-нибудь сообщение с этого номера. Когда Кристофер получил SMS где в поле отправителя значился его же собственный номер, он понял, что поступил глупо. Он поменял номер телефона, опасаясь что злоумышленники могут воспользоваться и «подставить» его – например отправить сообщение от его имени.
    Далее в своей статье, он рекомендует пользоваться приложениями для генерации одноразовых паролей, на своем примере иллюстрируя, что метод аутентификации по телефону не так уж и безопасен. В этом он совершенно прав, но, на самом деле, риски здесь совершенно другого масштаба – он рисковал не только возможностью имперсонации с помощью номера его мобильного телефона, но и непосредственно взломом учетной записи.
    Рассмотрим все риски более подробно.


    Имперсонация

    Кристофер больше всего испугался этого, но последствия здесь минимальны, этим можно воспользоваться разве только для розыгрыша (хотя и розыгрыш может иметь серьёзные последствия). Дело в том, что, SMS шлюзы, коих сейчас в интернете великое множество, позволяют указывать произвольный набор символов в качестве имени отправителя- это используется в основном для буквенного имени отправителя, но можно подставить и номер, причем любой. Из нескольких SMS шлюзов которые я протестировал, только у одного была процедура «модерации» имени отправителя, но и она, я так понял, не подразумевает проверки владения номером – я без проблем добавил номер знакомого в поле отправителя и отправил ему же тестовый SMS.


    Дубликат сим-карты


    Во всех банках процедура проверки личности достаточно строгая (иногда доходит до абсурда). Но у мобильных операторов это не так, несмотря на то, что множество систем онлайн банкинга используют номер мобильного телефона для подтверждения транзакций. Приведу пример из своего опыта: я в этом году дважды заказывал дубликаты сим-карт (нужны были нано-симы) и в обоих случаях спросили только номер телефона и никакой идентификации личности, и это, заметьте, для post-paid контракта. Не далее, как вчера, ради интереса, проделал ту же операцию в соседней стране уже с pre-paid, и ситуация повторилась в точности – никаких документов не спрашивали. Во всех приведенных выше примерах действие происходило в странах центральной Европы.

    Голосовая почта


    Многие системы двухфакторной аутентификации, включая систему Google, предлагают, помимо SMS, обычный телефонный звонок, с помощью которого робот сообщает цифры одноразового пароля. Это удобно, если нет сотового телефона, или есть проблемы с уровнем сигнала в помещении. Однако, если на номере включена голосовая почта, это приводит к риску перехвата голосового сообщения. Так, например, произошло в 2012 году с CEO Cloudflare Мэтью Принцем. В этом инциденте частично использовалась социальная инженерия, однако можно обойтись и без этого метода: с помощью сервисов подмены номера звонящего (например, SpoofCard). Атака основана на том, что при доступе к голосовой почте, многие операторы не требуют дополнительной верификации если Caller-ID звонящего совпадает с номером абонента. Автралийский эскперт по безопасности Шубхам Шах провел достаточно обширное исследование, и выяснил что проблема существовала (у некоторых все еще существует) у таких ресурсов как Linkedin, Facebook, Google и др. По состоянию на сегодняшний день, проблема устранена у многих, но, например, Google и Yahoo не считают это уязвимостью и предпринимать ничего не собираются. Так что, совет – если у кого на этих сервисах основным методом выбран голосовой вызов, лучше поменять на SMS, а еще лучше: выбрать метод с мобильным приложением.

    Выводы


    SMS и голосовые звонки конечно удобны, но как выясняется, не так безопасны и надежны, как те же мобильные приложения или аппаратные ключи. К слову сказать, мобильные приложения тоже не идеальны, но риски там на порядки меньше.
    И еще, многим покажется прописной истиной, но тем не менее напомним, что, пароль все еще важен: преимущество двухфакторной авторизации именно в двух факторах, убрав пароль из процесса мы получим однофакторную с другими, но все же, рисками.
    • +15
    • 13,5k
    • 9
    Token2.com 56,80
    Компания
    Поделиться публикацией
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама
    Похожие публикации
    Комментарии 9
    • НЛО прилетело и опубликовало эту надпись здесь
      • +1
        что-то не электронное, доступ к которому нельзя получить удаленно

        да, есть например, Perfect Paper Passwords, или список одноразовых паролей для электронного банка, который нужно распечатывать с банкомата. Эти методы не очень удобны, но достаточно безопасны, вы правы.
      • 0
        А вы отправляли SMS через шлюз с +7 в номере? Если просто 79091234567, то телефон не сможет (не должен?) определять контакт (проверял на iPhone). А с +7 не должно получаться отправить.
        • 0
          Только что проверил, шлюзы без проблем отправляют и с «00» и с "+", на уровне мобильного оператора у меня заблокировали только когда я со своего номера себе отправлял, а на другие номера без проблем
          • 0
            Круто! А какими шлюзами пользуетесь? Тоже хочу попробовать :)
            • +1
              twilio.com — блокирует только когда sender и recipient одинаковые
              nexmo.com — вообще все варианты доставил моментально
        • 0
          Полагаю, процедуры идентификации абонента сотовых операторов России более строгие, что однако компенсируется периодическим их игнорированием.
          Именно поэтому некоторые банки перестают присылать смс на номер, для которого была заменена сим-карта.
          • 0
            некоторые банки перестают присылать смс на номер, для которого была заменена сим-карта

            А как банки понимают, что была произведена замена?
            • 0
              Наверное по ICCID или IMSI SIM-карты. Только откуда они их знают?

          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

          Самое читаемое