Минкомсвязи назвало SMS-коды «рискованным» средством аутентификации для банков
Минкомсвязи назвало SMS-коды «рискованным» средством аутентификации для банков

NIST как раз в августе выступил против смс паролей. в этот раз до наших быстро дошло-всего 2 мксяца

6

для банков


Для клиентов банков

1

А ТОТP никак нельзя взломать?

Только одному смартфону дается возможность генерировать код?

Что можете сказать про идентификацию по QR коду (реализовано у Яндекс)?

в случае с TOTP взламывать нечего, тк ничего не зашифровано - только перебор вариантов производной строки для генерации, но с этим успешно можно бороться, делая условия авторизации более жесткими (убрать +- сдвиг по времени, тайм-аут на неуспешные попытки, фильтр адресов и пр). Если же идет речь про сам алгоритм генерации токена - он не проприетарный, понятный и легко реализуем, что делает его легким для изучения в целях выявления недостатков, но пока что на горизонте тишина. Самый главный недостаток - если передача генератора токена происходит в виде данных через интернет, а не физический токен, получение и реверс-инжениринг которого требует гораздо больших ресурсов.

О! Дошло хоть до кого-то, наконец! Как бы теперь это до банков и прочих всяких ... донести?