Минкомсвязи: СМС-коды лучше не использовать вместо пароля

В Минкомсвязи убеждены, что использование СМС для аутентификации пользователя является небезопасным для банков. Такое заявление сделал представитель Минкомсвязи 3 октября на заседании в Центральном банке, на котором обсуждался вопрос передачи банкам от операторов связи информации об изменении владельца номера телефона.

Специалисты уверены: необходимо использование других, более безопасных способов, таких как применение генераторов одноразовых паролей (TOTP — Time-based One-time Password Algorithm) с дополнительной криптографической защитой. Соответствующие приложения и сервисы реализованы как отечественными, так и зарубежными компаниями и стандартизованы в документах IETF (Internet Engineering Task Force).

Как правило для создания одноразовых паролей используются сервисы наподобие «Яндекс.Ключ» или Google Authenticator. Пользователи устанавливают соответствующее приложение на мобильное устройство. После его соединения с сайтом начинается генерация одноразовых паролей, и действие каждого ограничено по времени. После этого при заходе на сайт вместо старого пароля необходимо будет ввести пароль, который предложит приложение.

Сейчас многие платежные сервисы для подтверждения операции просят ввести код, отправленный в СМС, после чего происходит оплата. Практика показывает, что СМС-коды обеспечивают высокий уровень безопасности, если клиент соблюдает базовые принципы безопасности: хранит в тайне пароли, коды для подтверждения, использует антивирусы. За последние пять лет не было зарегистрировано ни одного случая компрометации с их использованием.

Если пользователь работает с системой онлайн-банкинг на компьютере, а подтверждение приходит на телефон, то смысл в СМС есть, в отличие от одновременной работы с банком и получения СМС на смартфоне.

Уязвимость представляет не сама технология формирования кода, а СМС-канал, по которому происходит его доставка от банка клиенту. Существует несколько способов компрометации такого канала. Во-первых, существуют трояны для перехвата СМС с кодами и отправки их злоумышленнику. По такой схеме ежегодно похищается более 50 млн рублей со счетов россиян в различных российских банках. Во-вторых, можно перевыпустить SIM-карту с номером потенциальной жертвы по поддельному паспорту или по сговору с сотрудником салона связи. Это недорого — порядка 50 тыс. рублей на черном рынке за одну SIM-карту. Получив дубликат SIM-карты, злоумышленник активирует ее в сети оператора, обычно в ночное время, и за пару часов переводит все деньги из интернет-банка жертвы на подконтрольные счета в других финансовых организациях, после чего происходит практически мгновенное обналичивание денежных средств через банкоматы.

Генерация одноразовых паролей с использованием приложения в смартфоне или посредством считывания QR-кода с экрана монитора может существенно повысить уровень безопасности.