SMS или приложение для аутентификации — что лучше для двухфакторной аутентификации?

SMS или приложение для аутентификации — что лучше для двухфакторной аутентификации?

Если вы заботитесь о своей кибербезопасности, возможно, вы включили двухфакторную аутентификацию для своих наиболее важных учетных записей (электронная почта, интернет-банкинг и т. д.).

Но со всеми доступными мобильными вредоносными программами (что в основном является проблемой для пользователей Android), вам может быть интересно, что безопаснее: использовать SMS-коды или приложение для проверки подлинности?

Перечислим плюсы и минусы в этой статье, чтобы вы могли принять обоснованное решение: SMS или приложение для аутентификации — что лучше для двухфакторной аутентификации?

Во многих случаях выбор между SMS и приложением-аутентификатором сводится к использованию того, что вам удобнее. Но если вам интересно узнать о плюсах и минусах каждого из них, читайте и дайте знать в комментариях, какой вариант вы предпочитаете и почему.

(Не все службы с поддержкой 2FA предлагают оба варианта, но в рамках этого упражнения мы предполагаем, что вы можете выбирать между ними.)

Плюсы и минусы SMS-кодов

Плюсы

  • СМС коды удобны. Нет никаких проблем с загрузкой приложения и настройкой каждой учетной записи. Это может быть единственный вариант, если у вас нет смартфона.
  • SMS-аутентификация может быть канарейкой в угольной шахте. Если кто-то пытается взломать вашу учетную запись, сообщения двухфакторной аутентификации на вашем телефоне предупреждают, что пора провести расследование (и сменить пароль).

Минусы

  • Мошенник может захватить ваши SMS-сообщения с помощью мошенничества с заменой SIM-карты . Если им удастся убедить магазин мобильных телефонов в том, что это вы, они могут заставить их выпустить замену SIM-карты, закодированной с вашим номером телефона. Ваш телефон отключится, и они начнут принимать ваши звонки и сообщения, включая коды 2FA.
  • NIST объявил, что эпоха двухфакторной аутентификации на основе SMS прошла .

Плюсы и минусы кодов приложений для аутентификации

Плюсы

  • Замена SIM-карты не приведет к перехвату ваших кодов 2FA, если вы используете приложение для аутентификации. Коды зависят от самого приложения, а не от вашей SIM-карты.
  • Приложения-аутентификаторы работают, даже если у вас нет мобильной связи.

Минусы

  • Приложения-аутентификаторы зависят от общего секрета, который необходимо хранить как приложению, так и серверу. Это «начальное число» сочетается со временем для генерации кода 2FA. Если мошенник может взломать приложение или сервер и восстановить секрет, они могут клонировать ваши коды 2FA на неопределенный срок. Коды SMS — это просто случайные значения, отправляемые сервером, поэтому нет «начального числа», с помощью которого мошенник мог бы предсказать следующее в последовательности.
  • Когда вы получаете доступ к онлайн-сервисам со своего смартфона, вы обычно запускаете приложение-аутентификатор на том же устройстве. Это означает, что у мошенников есть общая точка компромисса для обоих факторов вашей двухфакторной аутентификации. Второй, легкий «функциональный телефон», используемый для кодов SMS, упрощает разделение этих двух факторов.
Alt text

Телевизоры следят за нами, шпионы поколения Джеймса Бонда страдают от новых технологий, а неудачный пост в Whatsapp десятилетней давности может привести к тюремному сроку в нашем новом Youtube выпуске.

Владимир Безмалый

О безопасности и не только