SMS или приложение для аутентификации — что лучше для двухфакторной аутентификации?

Дата: 21.07.2021. Автор: Владимир Безмалый. Категории: Блоги экспертов по информационной безопасности
SMS или приложение для аутентификации — что лучше для двухфакторной аутентификации?

Если вы заботитесь о своей кибербезопасности, возможно, вы включили двухфакторную аутентификацию для своих наиболее важных учетных записей (электронная почта, интернет-банкинг и т. д.).

Но со всеми доступными мобильными вредоносными программами (что в основном является проблемой для пользователей Android), вам может быть интересно, что безопаснее: использовать SMS-коды или приложение для проверки подлинности?

Перечислим плюсы и минусы в этой статье, чтобы вы могли принять обоснованное решение: SMS или приложение для аутентификации — что лучше для двухфакторной аутентификации?

Во многих случаях выбор между SMS и приложением-аутентификатором сводится к использованию того, что вам удобнее. Но если вам интересно узнать о плюсах и минусах каждого из них, читайте и дайте знать в комментариях, какой вариант вы предпочитаете и почему.

(Не все службы с поддержкой 2FA предлагают оба варианта, но в рамках этого упражнения мы предполагаем, что вы можете выбирать между ними.)

Плюсы и минусы SMS-кодов

Плюсы

  • СМС коды удобны. Нет никаких проблем с загрузкой приложения и настройкой каждой учетной записи. Это может быть единственный вариант, если у вас нет смартфона.
  • SMS-аутентификация может быть канарейкой в угольной шахте. Если кто-то пытается взломать вашу учетную запись, сообщения двухфакторной аутентификации на вашем телефоне предупреждают, что пора провести расследование (и сменить пароль).

Минусы

  • Мошенник может захватить ваши SMS-сообщения с помощью мошенничества с заменой SIM-карты . Если им удастся убедить магазин мобильных телефонов в том, что это вы, они могут заставить их выпустить замену SIM-карты, закодированной с вашим номером телефона. Ваш телефон отключится, и они начнут принимать ваши звонки и сообщения, включая коды 2FA.
  • NIST объявил, что эпоха двухфакторной аутентификации на основе SMS прошла .

Плюсы и минусы кодов приложений для аутентификации

Плюсы

  • Замена SIM-карты не приведет к перехвату ваших кодов 2FA, если вы используете приложение для аутентификации. Коды зависят от самого приложения, а не от вашей SIM-карты.
  • Приложения-аутентификаторы работают, даже если у вас нет мобильной связи.

Минусы

  • Приложения-аутентификаторы зависят от общего секрета, который необходимо хранить как приложению, так и серверу. Это «начальное число» сочетается со временем для генерации кода 2FA. Если мошенник может взломать приложение или сервер и восстановить секрет, они могут клонировать ваши коды 2FA на неопределенный срок. Коды SMS — это просто случайные значения, отправляемые сервером, поэтому нет «начального числа», с помощью которого мошенник мог бы предсказать следующее в последовательности.
  • Когда вы получаете доступ к онлайн-сервисам со своего смартфона, вы обычно запускаете приложение-аутентификатор на том же устройстве. Это означает, что у мошенников есть общая точка компромисса для обоих факторов вашей двухфакторной аутентификации. Второй, легкий «функциональный телефон», используемый для кодов SMS, упрощает разделение этих двух факторов.

Источник — Блог Владимира Безмалого «Быть, а не казаться. О безопасности и не только».

Владимир Безмалый

Об авторе Владимир Безмалый

Данный блог посвящен информационной безопасности и информационнм технологиям.
Читать все записи автора Владимир Безмалый

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *