MULTIFACTOR: СМС vs мобильное приложение

Приложение Multifactor – ваш надёжный поставщик второго фактора

Если раньше двухфакторную аутентификацию подключали только в корпоративных целях, то сегодня – она нужна даже для защиты личных аккаунтов. И чаще всего пользователи используют тот вид 2FA, когда в СМС приходит одноразовый код.

В этой статье мы расскажем, стоит ли использовать СМС для передачи одноразового кода или нет в рамках системы двухфакторной аутентификации  MULTIFACTOR, а также покажем, почему безопаснее выбрать для этой цели приложение-аутентификатор Multifactor.

Одноразовые пароли по СМС небезопасны?

Одноразовый пароль, или ОТР (One Time Password) – пароль, действительный только для одного сеанса аутентификации и отправляемый пользователю в виде СМС. Мы ничего не имеем против ОТР-паролей, а вот безопасность передачи этого пароля под вопросом. 

Специалисты компании Positive Technologies уже давно говорят о небезопасности метода двухфакторной аутентификации по СМС. Причина кроется в стандарте Signaling System 7 (SS7). Сотовые сети используют SS7 для взаимодействия между собой, но он имеет уязвимости. Сегодня сеть SS7 не является изолированной, поэтому злоумышленник, тем или иным путём получивший к ней доступ, может прослушивать голосовые вызовы абонентов, читать СМС, похищать деньги со счетов и многое другое.

Перехват СМС-сообщений – это уже давно не выдумка из голливудских фильмов, а печальная реальность. Основной вывод остаётся неизменным: двухфакторная аутентификация (2FA) с использованием СМС – крайне небезопасна. 

Этот факт официально признал Национальный институт стандартов и технологий США (NIST), когда в 2016 году опубликовал руководство по цифровой аутентификации, где СМС-аутентификация  была исключена из списка рекомендуемых методов. Решение стало следствием многолетнего анализа уязвимостей протокола SS7 и других проблем, связанных с безопасностью СМС-трафика.  

В частности, перехват сообщений может осуществляться не только на уровне оператора связи, но и на уровне промежуточных узлов сети, что делает трассировку и идентификацию источника атаки чрезвычайно сложной задачей. Более того, возросшая сложность современных телефонных сетей и распространение виртуализации инфраструктуры только усиливают эти уязвимости.

Почему ещё 2FA по СМС – это ненадёжный вариант:

• Если у вас включен показ уведомлений на экране блокировки, то любой, кто получит доступ к вашему телефону, сможет увидеть приходящее сообщение с кодом. Даже если уведомления отключены, злоумышленник может извлечь SIM-карту из вашего устройства и установить её в другой телефон, получив доступ к вашим СМС-сообщениям. 
• СМС с кодом могут быть перехвачены с помощью уязвимости, которая позволяет получить удалённый доступ к мобильному устройству. 
• Существуют случаи, когда мошенники обманом или подкупом получают новую SIM-карту с вашим номером в салонах сотовой связи. Все СМС-сообщения с кодами приходят на карту злоумышленника, а ваш телефон остаётся без связи.

Приложение-аутентификатор Multifactor: надёжная 2FA-защита

В связи с рисками настало время задуматься о надёжных альтернативах двухфакторной аутентификации. Один из таких вариантов – приложение для аутентификации Multifactor. 

Multifactor – мобильное приложение, разработанное компанией МУЛЬТИФАКТОР. Это один из удобных и современных методов аутентификации, который можно использовать при работе с системой двухфакторной аутентификации MULTIFACTOR.

Алгоритм работы Multifactor прост: в приложение приходит уведомление о входе на какой-либо ресурс, вам нужно подтвердить, что это вы осуществляете вход. Использование приложения-аутентификатора исключает риск перехвата сообщения или его утечки, так как подтверждение генерируется локально на устройстве пользователя.

Почему стоит выбрать мобильное приложение Multifactor в качестве второго фактора?

Отечественное решение 

Мобильное приложение Multifactor создано российской компанией МУЛЬТИФАКТОР. Это значит, что оно не подвержено санкционным рискам и работает стабильно. 

Безопасно

 Приложение Multifactor безопасно по нескольким причинам: 

• Продукт написан с нуля: при его разработке компания не использовала открытые данные других решений, поэтому можно исключить риск взлома и несанкционированный доступ. 

• Компания МУЛЬТИФАКТОР соответствует требованиям международного стандарта PCI DSS версии 4.0 и является лицензиатом ФСТЭК. 
• В приложении весь входящий и исходящий сетевой трафик шифруется стойкими криптоалгоритмами. Даже если сетевой трафик будет перехвачен злоумышленниками (например, при использовании публичного Wi-Fi в кофейне), то функция шифрования не позволит понять, к какому ресурсу пользователь подтверждает второй фактор, какие использует токены для подтверждения. Без шифрования же злоумышленник, зная логин-пароль к ресурсу, сможет воспроизвести подтверждение пуша и получит доступ в целевую систему. 
• Токены доступа и сертификаты устройства также хранятся в зашифрованном виде, благодаря чему приложение будет работать стабильно и его невозможно атаковать Man-in-the-Middle.

Многофакторная аутентификация

Функционал приложения позволяет осуществлять многофакторную аутентификацию. В Multifactor можно выбрать любой удобный для вас способ подтверждения второго фактора:

• Кнопка «Подтвердить/Отклонить» вход
• ОТР, или одноразовый код

Экономия батареи

Приложение Multifactor потребляет минимальное количество системных ресурсов, поэтому выгодно с точки зрения энергопотребления.  

Кастомизация интерфейса

Разработчики Multifactor сделали возможным кастомизацию интерфейса приложения под требования заказчика: можно добавить логотип компании внутри личного кабинета и изменить цветовую схему.

Заключение

Мобильное приложение Multifactor – отечественное решение, которое выступает в качестве одного из наиболее безопасных методов аутентификации двухфакторной системы MULTIFACTOR. 

Multifactor имеет удобный и интуитивно понятный интерфейс, простой функционал, а также поддерживает подтверждение доступа не только с помощью кнопок «Подтвердить/Отклонить», но и с помощью ОТР-кодов.

Вы можете установить приложение Multifactor на свой смартфон при помощи следующих ресурсов:

• App Store
• Google Play
• RuStore
• Huawei AppGallery
• Аврора Маркет
• Скачайте apk файл
• Скачайте rpm файл для Аврора

Более подробно о мобильном приложении Multifactor