Альтернатива смены пароля через смс должна быть более безопасной

Директор департамента расследований T.Hunter Игорь Бедеров в беседе с RT отметил, что метод смены пароля с помощью смс не повышает безопасность аккаунта, а, скорее, поддерживает существующий уязвимый процесс.

Так специалист прокомментировал сообщение о том, что Минцифры России изучает способы смены пароля на портале «Госуслуги» без варианта с отправкой смс с кодом.

«Основная проблема не в том, как меняют пароль, а в том, что смс-код остаётся однофакторной аутентификацией (1FA) для входа. Мошенники охотятся именно за этим кодом доступа к аккаунту. Пока вход осуществляется по смс, злоумышленнику не нужно менять пароль — ему нужен сам код из смс. При этом все известные атаки на смс (SIM-свопинг, фишинг, вирусы для чтения смс) остаются актуальными… То есть сам факт, что смена пароля защищена только смс (тем же методом, что и вход), указывает на слабость основной модели аутентификации», — объяснил Бедеров.

По его словам, идеальная альтернатива должна быть более безопасной, чем смс, и удобной для пользователей.

«Здесь можно предложить смену пароля после успешной аутентификации с использованием 2FA (второго сильного фактора аутентификации), смену пароля через доверенное приложение, смену пароля через подтверждение личности в МФЦ или отделении банка-партнёра. Самый эффективный способ обезопасить любые операции с аккаунтом «Госуслуг» — отказаться от смс как единственного и основного фактора аутентификации для входа. Это предполагает внедрение и популяризация настоящих сильных 2FA методов (FIDO2/WebAuthn, TOTP-аутентификаторы, защищённые push)», — заключил собеседник RT.

Ранее также стало известно, что в России выявили высокий уровень уязвимости приложений к утечкам данных.

Читать статью в полной версии «RT»