Директор департамента расследований T.Hunter Игорь Бедеров в беседе с RT отметил, что метод смены пароля с помощью смс не повышает безопасность аккаунта, а, скорее, поддерживает существующий уязвимый процесс.
Так специалист прокомментировал сообщение о том, что Минцифры России изучает способы смены пароля на портале «Госуслуги» без варианта с отправкой смс с кодом.
«Основная проблема не в том, как меняют пароль, а в том, что смс-код остаётся однофакторной аутентификацией (1FA) для входа.
Мошенники охотятся именно за этим кодом доступа к аккаунту. Пока вход осуществляется по смс, злоумышленнику не нужно менять пароль — ему нужен сам код из смс. При этом все известные атаки на смс (SIM-свопинг, фишинг, вирусы для чтения смс) остаются актуальными... То есть сам факт, что смена пароля защищена только смс (тем же методом, что и вход), указывает на слабость основной модели аутентификации», — объяснил Бедеров.По его словам, идеальная альтернатива должна быть более безопасной, чем смс, и удобной для пользователей.
«Здесь можно предложить смену пароля после успешной аутентификации с использованием 2FA (второго сильного фактора аутентификации), смену пароля через доверенное приложение, смену пароля через подтверждение личности в МФЦ или отделении банка-партнёра. Самый эффективный способ обезопасить любые операции с аккаунтом «Госуслуг» — отказаться от смс как единственного и основного фактора аутентификации для входа. Это предполагает внедрение и популяризация настоящих сильных 2FA методов (FIDO2/WebAuthn, TOTP-аутентификаторы, защищённые push)», — заключил собеседник RT.
Ранее член комитета Госдумы по информационной политике, информационным технологиям и связи Антон Немкин в беседе с RT напомнил, что запрашивать коды из смс по звонку могут только мошенники.
Свежие комментарии