Вопрос или проблема
Когда я захожу в некоторые веб-сервисы, мне необходимо отправить обратно код верификации, содержащийся в текстовом сообщении, которое начинается что-то вроде “Вы или кто-то, кто пытается выдать себя за вас, пытается сделать X на сервисе Y. Если вы действительно пытаетесь сделать X на сервисе Y, код верификации — Z. Если вы понимаете, что, возможно, вы мошеннически предоставили этот код кому-либо или какому-либо веб-сайту, посетите security.Y.com немедленно.”
Однако в другом популярном онлайн-сервисе (который я назову “Acme”) текстовое сообщение просто гласит: “Ваш код верификации Acme — A-123456”, но некоторые телефоны дополнительно отображают сообщение, выданное телефоном, которое говорит: “Это подлинное уведомление о безопасности Acme”.
Есть ли какие-либо недостатки в безопасности при использовании текстовых сообщений, которые больше похожи на первое, чем на второе? Последний подход уязвим для различных атак социального инжиниринга, когда кто-то, имеющий дело с мошенником или фальшивым веб-сайтом, получает указание ожидать от них код безопасности, но мошенник на самом деле пытается получить доступ к личной учетной записи Acme. Если первый подход не имеет недостатков в безопасности, почему крупные компании не используют его?
Я видел крупные корпорации с профессиональными отделами безопасности, у которых есть политики безопасности, которые утверждают, что цель кода верификации должна быть указана в текстовом сообщении. Как вы и предлагаете. Так что есть прецедент для вашей идеи.
Я рекомендую держать сообщение коротким. Люди менее склонны читать все сообщение, если оно длинное.
Кроме того, будьте осторожны, чтобы не предоставлять слишком много деталей на случай, если сообщение попадет не туда. Лучше “Код верификации для входа в аккаунт myc***[email protected], код AB-5546″, чем “Код верификации для входа в аккаунт [email protected], код AB-5546″. Во втором случае может быть раскрыт адрес электронной почты, тогда как в первом — нет, но он все равно будет узнаваемым.
В качестве побочного заметки. Текстовые одноразовые пароли (OTP) подвержены атакам, таким как замена SIM-карт, когда злоумышленник берет под контроль номер телефона жертвы и будет получать OTP вместо нее. Пароли, основанные на времени, этой проблемы не имеют. Источник: https://www.cnet.com/tech/services-and-software/do-you-use-sms-for-two-factor-authentication-heres-why-you-shouldnt/
Ответ или решение
Использование текстовых сообщений, которые сообщают, для чего предназначен проверочный код, может нести как преимущества, так и риски в области безопасности. Рассмотрим внимательно оба подхода.
Преимущества указания цели проверки в сообщении:
-
Уменьшение вероятности фишинга: Когда текст сообщения содержит информацию о цели отправки кода, пользователи могут легче идентифицировать подозрительную активность. Например, фраза "Если вы пытаетесь войти в свой аккаунт на сервисе X" ясно указывает на намерение сообщения, тем самым снижая риск, что пользователь передаст код злоумышленнику.
-
Участие пользователя в безопасности: Пользователь, получая информацию о том, что действие осуществляется от его имени, будет более внимателен к своей учетной записи и сможет быстро отреагировать на возможные угрозы.
Недостатки и потенциальные риски:
-
Социальная инженерия: Если текстовые сообщения указывают на определенные действия (например, "Вы пытаетесь войти в ваш аккаунт"), злоумышленник может использовать эту информацию, чтобы эмулировать этот процесс и убедить пользователя, что он действительно должен предоставить коды, когда на самом деле он попадает в ловушку.
-
Слишком много информации: Передача избыточной информации может увеличить риск раскрытия данных в случае перехвата сообщения. Если сообщение будет отправлено по ошибке или будет перехвачено третьей стороной, детали, содержащиеся в нем, могут быть использованы против пользователя.
-
Долговечность старых привычек: Многие компании продолжают использовать короткие и менее информативные сообщения, поскольку они являются стандартом и хорошо известны пользователям, которые могут инстинктивно ожидать такой формат сообщения.
Рекомендации для улучшения безопасности:
-
Соблюдение краткости и ясности: Сообщение должно быть понятным, но не перегруженным информацией. К примеру, можно использовать формулировки: "Код для входа в [сервис]: AB-123456". Таким образом, предоставляется необходимая информация без излишних деталей.
-
Минимизация личной информации: Избегайте указания личных данных, таких как адреса электронной почты, в текстовых сообщениях. Это снижает риск их использования мошенниками.
-
Альтернативные методы аутентификации: Рассмотрите возможность использования более безопасных методов двухфакторной аутентификации, таких как приложения для генерации кодов или токены, вместо текстовых сообщений, так как SMS может быть подвержено ряду атак, включая SIM- swapping и перехват сообщений.
В заключение, хотя указание цели проверки в текстовых сообщениях может иметь некоторые преимущества в виде повышения осведомленности пользователей, необходимо быть осторожными, чтобы избегать вероятных недостатков, включая возможности для злоумышленников манипулировать пользователями с использованием информации, предоставленной в сообщениях.