Минкомсвязи назвало SMS-коды «рискованным» средством аутентификации для банков Материал редакции

Минкомсвязи считает, что использование SMS-кодов для аутентификации пользователя несёт в себе значительные риски для банков в отличие от специальных генераторов одноразовых паролей. Об этом пишут «Известия» со ссылкой на представителей ведомства.

Использование SMS для аутентификации несет существенные риски для безопасности, и необходимо использование других, более безопасных способов, таких как применение генераторов одноразовых паролей (TOTP — Time-based One-time Password Algorithm) с дополнительной криптографической защитой. Соответствующие приложения и сервисы реализованы как отечественными, так и зарубежными компаниями и стандартизованы в документах IETF (Internet Engineering Task Force). Минкомсвязь России продолжит работу с ЦБ для обеспечения безопасности граждан и их денег в цифровую эпоху.

— пресс-служба Минкомсвязи

Представители ведомства высказали аналогичную точку зрения 3 октября на заседании «большой тройки» операторов связи, ЦБ и отраслевых ассоциаций, где обсуждался вопрос передачи банкам информации о смене пользователем номера телефона, указывают «Известия».

К генераторам одноразовых паролей относятся такие приложения, как «Яндекс.Ключ» или Google Authenticator. Его нужно установить на мобильное устройство пользователя и подключить к нужному сайту. После этого сервис будет регулярно генерировать пароли с ограниченным сроком действия.

Начальник управления дистанционного банковского обслуживания ВТБ24 Елена Дегтева в разговоре с «Известиями» заметила, что основная опасность для SMS-аутентификации — это канал, по которому доставляются сообщения.

«Уязвимость данного канала ни для кого не является секретом, в том числе и для нас, а потому SMS-коды — это далеко не единственный способ аутентификации, применяемый в банке. В частности, в качестве альтернативных и рекомендуемых клиентам мы используем канал Push, а также внедрили технологию генерации кодов подтверждения операций, работающую по стандартам платежных систем Visa и MasterCard (CAP/DPA). Генерация кодов в этом случае происходит в специальном отдельном приложении для смартфонов "Токен ВТБ24-онлайн"», — сказала она.

В апреле 2016 года оппозиционные активисты пожаловались на удалённый взлом аккаунтов в Telegram. В техподдержке сервиса объяснили, что вход в профили произошёл с помощью кода из SMS, однако пользователи не получали сообщения на свои телефоны. По мнению специалиста Владислава Здольникова, атака могла быть спланирована ФСБ совместно с МТС: SMS с кодом авторизации перехватили либо на дубликате SIM-карты, либо на SMS-шлюзе МТС.

{ "author_name": "Андрей Фролов", "author_type": "editor", "tags": ["\u043d\u043e\u0432\u043e\u0441\u0442\u044c","\u043d\u043e\u0432\u043e\u0441\u0442\u0438","\u043c\u0438\u043d\u043a\u043e\u043c\u0441\u0432\u044f\u0437\u0438","sms_\u043a\u043e\u0434\u044b"], "comments": 5, "likes": 11, "favorites": 0, "is_advertisement": false, "subsite_label": "flood", "id": 18962, "is_wide": true, "is_ugc": false, "date": "Wed, 05 Oct 2016 14:58:18 +0300", "is_special": false }
Сервис-дизайн
10 июля Онлайн 40 000 ₽
Объявление на vc.ru
0
5 комментариев
Популярные
По порядку
6

NIST как раз в августе выступил против смс паролей. в этот раз до наших быстро дошло-всего 2 мксяца

Ответить

Комментарий удален

1

для банков

Для клиентов банков

Ответить
0

А ТОТP никак нельзя взломать?

Только одному смартфону дается возможность генерировать код?

Что можете сказать про идентификацию по QR коду (реализовано у Яндекс)?

Ответить
0

в случае с TOTP взламывать нечего, тк ничего не зашифровано - только перебор вариантов производной строки для генерации, но с этим успешно можно бороться, делая условия авторизации более жесткими (убрать +- сдвиг по времени, тайм-аут на неуспешные попытки, фильтр адресов и пр). Если же идет речь про сам алгоритм генерации токена - он не проприетарный, понятный и легко реализуем, что делает его легким для изучения в целях выявления недостатков, но пока что на горизонте тишина. Самый главный недостаток - если передача генератора токена происходит в виде данных через интернет, а не физический токен, получение и реверс-инжениринг которого требует гораздо больших ресурсов.

Ответить
0

О! Дошло хоть до кого-то, наконец! Как бы теперь это до банков и прочих всяких ... донести?

Ответить

Прямой эфир