В Минкомсвязи считают SMS-коды для аутентификации пользователей небезопасными для банков. Об этом рассказали “Известия” со ссылкой на заявление представителя ведомства, прозвучавшее на заседании в Центральном банке.
В Минкомсвязи убеждены, что SMS-коды нельзя назвать безопасным способом аутентификации. И банкам необходимо использовать другие, более безопасные средства, вроде генераторов одноразовых паролей (TOTP – Time-based One-time Password Algorithm) с дополнительной криптографической защитой.
“Соответствующие приложения и сервисы реализованы как отечественными, так и зарубежными компаниями и стандартизованы в документах IETF (Internet Engineering Task Force), – поясняют в пресс-службе Минкомсвязи. – Минкомсвязь России продолжит работу с ЦБ для обеспечения безопасности граждан и их денег в цифровую эпоху”.
Для создания одноразовых паролей пользователям нужно установить на смартфон специальное приложение, которое после его сопряжения с сайтом начинает генерацию одноразовых паролей. Их действие ограничено по времени, и при заходе на сайт вместо старого пароля необходимо будет ввести пароль, который предложит приложение.
Но многие платежные системы решили пойти по более простому пути, и в большинстве случаев для подтверждения операции они просят ввести код, отправленный в SMS. И начальник управления дистанционного банковского обслуживания ВТБ24 Елена Дегтева не скрывает, что уязвимость SMS-канала, по которому происходит его доставка от банка клиенту, уже давно не является секретом.
Сомневаются в полной защищенности SMS-аутентификации и аналитики по кибербезопасности. Так, руководитель направления аутсорсинга ИБ компании Solar Security Эльман Бейбутов напоминает о существовании троянов для перехвата SMS с кодами и отправки их злоумышленнику, а также возможности перевыпуска SIM-карты с номером потенциальной жертвы по поддельному паспорту или по сговору с сотрудником салона связи. Поэтому он уверен, что генерация одноразовых паролей с использованием приложения в смартфоне или посредством считывания QR-кода с экрана монитора может заметно повысить уровень безопасности транзакций.
Популярные статьи:
Небесный интернет от Google и Facebook может оказаться под запретом в России
В России ищут способы чтения переписки пользователей WhatsApp, Viber и Skype
Правообладатели добились разделегирования домена онлайн-библиотеки “Либрусек”
Электронные деньги в России расскажут о прежних владельцах
В России заблокирована онлайн-библиотека “Либрусек”
следующая новость предыдущая новость |
||
|