Назад к блогу
3 мин чтения

Почему SMS 2FA больше недостаточно

SMS-коды могут быть украдены. Узнайте о лучших методах двухфакторной аутентификации, которые действительно защищают ваши аккаунты.

Почему SMS 2FA больше недостаточно

Вы включили двухфакторную аутентификацию. Отлично! Но если вы используете SMS-коды, вы не так защищены, как думаете.

SMS-коды: Проблема

Когда вы входите куда-то и получаете код по SMS, этот код путешествует через сеть вашего оператора. И эту сеть можно обмануть.

SIM-свопинг: по сути, это когда злоумышленник убеждает вашу телефонную компанию перенести ваш номер на его телефон. Он звонит в службу поддержки, выдавая себя за вас, и говорит, что потерял телефон. Как только ваш номер оказывается на его SIM-карте, он получает все ваши SMS — включая те коды безопасности.

Это не какая-то оторванная от реальности история из фильма про хакеров. Мошенничество с SIM-свопингом массово растёт и продолжает увеличиваться. С новой технологией eSIM злоумышленники теперь могут украсть ваш номер менее чем за пять минут.

Как это происходит

  1. Они изучают вас — Ваше имя, дату рождения, адрес из соцсетей или утечек данных
  2. Они звонят вашему оператору — Выдавая себя за вас, говоря о потерянном телефоне
  3. Ваш телефон умирает — Ваш номер переходит на их устройство
  4. Они сбрасывают ваши пароли — Используя SMS-коды, которые теперь приходят им

Некоторым злоумышленникам даже не нужно никому звонить: Они эксплуатируют старые телеком-протоколы под названием SS7, чтобы перенаправить ваши сообщения напрямую.

Помогает ли какая-нибудь 2FA?

Да! Microsoft обнаружил, что аккаунты с любой формой MFA на 99,9% реже подвергаются взлому. Проблема в том, что SMS — самая слабая форма MFA. Это лучше, чем ничего, но есть гораздо более сильные варианты.

Лучшие варианты

Приложения-аутентификаторы (Хорошо)

Вместо получения кодов по SMS приложение генерирует коды прямо на вашем телефоне. Коды никогда не путешествуют по сети — они генерируются прямо на вашем устройстве.

Почему отдельное приложение? Большинство менеджеров паролей тоже предлагают коды 2FA. Удобно. Но если кто-то попадёт в ваш менеджер паролей, он получит и пароли, и коды 2FA. Конец игры. Хранение их отдельно означает, что злоумышленнику нужно скомпрометировать два приложения, чтобы попасть внутрь. Не кладите все яйца в одну корзину.

Рекомендуемые приложения:

  • Aegis — Бесплатный, с открытым кодом, только Android. Высокий уровень настройки, зашифрованные резервные копии.
  • Ente Auth — Бесплатный, с открытым кодом, работает везде включая десктоп и веб.

Аппаратные ключи безопасности (Лучше)

Маленькое USB-устройство, которое вы подключаете при входе. Никаких кодов для ввода — просто коснитесь ключа.

Популярные варианты включают YubiKey и Google Titan Key. Они работают с большинством крупных сервисов: Google, Microsoft, GitHub и многими другими.

Ключ использует криптографию, которая проверяет, находитесь ли вы на настоящем сайте. Если вы нажали на фишинговую ссылку, он не сработает на поддельных сайтах.

Passkeys (Лучше всего)

Самый новый вариант. Ваш телефон или компьютер генерирует уникальный криптографический ключ для каждого сайта. Ничего запоминать, ничего вводить.

Passkeys реализованы в iOS, Android, Windows и macOS. Всё больше сайтов их поддерживают — Google, Apple, Microsoft, PayPal и другие.

Как и аппаратные ключи, автоматически проверяет, настоящий ли сайт. Делает фишинг почти невозможным.

Как защитить свои аккаунты

  • Позвоните оператору и запросите блокировку переноса или SIM-карты
  • Настройте приложение-аутентификатор (Aegis или Ente Auth)
  • Перенесите все аккаунты, зависящие от SMS, в приложение, начиная с почты и банкинга
  • Храните резервные коды в безопасном месте, но не на телефоне
  • Приобретите аппаратный ключ безопасности для самых важных аккаунтов
  • Включите passkeys везде, где они предлагаются

Резервное копирование?

Есть один страх, связанный с приложениями-аутентификаторами: что если вы потеряете телефон?

  • Aegis позволяет экспортировать зашифрованные резервные копии
  • Ente Auth синхронизируется между устройствами
  • Большинство сервисов предоставляют резервные коды при настройке 2FA — храните их в безопасном месте

Аппаратные ключи? Купите два, один держите как резервный.

Итог

Десять лет назад SMS-коды были нормой. Сегодня они — слабое место, которое злоумышленники умеют использовать.

Переход на приложение-аутентификатор занимает может 30 минут и делает вас значительно безопаснее. Аппаратные ключи и passkeys идут ещё дальше.

Теги: security privacy passwords 2fa
Signal vs Session: Какой …
×