Безопасность информации при использовании доставки кода в голосе и в SMS-сообщениях
Доставка кодов в SMS: есть дыры, которые годами никто не латает
В случае с СМС можно выделить 2 принципиальных момента, которые оказывают влияние на уровень безопасности доставки кодов.
Первый — возможность использования для приема SMS-сообщений «виртуальных» арендованных номеров. Взять напрокат любое количество номеров для приема СМС сейчас не проблема. Это может грозить владельцам сайтов и сервисов, использующих SMS для доставки кодов, ложными регистрациями, спамом и прочими проблемами (а ведь это — тоже часть системы безопасности).
Второй момент — возможность перехвата SMS-сообщений с кодом. Это можно реализовать благодаря уязвимостям протокола Системы сигнализации № 7 (SS7). Злоумышленники, в частности которые занимаются взломом банковских счетов, активно пользуются этими уязвимостями. И многие специалисты рекомендуют отказаться от SMS при организации двухфакторной аутентификации в пользу других способов.
Доставка кода в голосе: проблемы тоже есть, но использовать уязвимости намного сложнее
Использование мобильного телефона для ложных регистраций, спама и прочих нехороших целей на сайтах и в приложениях, где работает доставка кода в голосе, затруднено. Так просто арендовать (по крайней мере, в сравнении с SMS) номер сложно.
Что касается уязвимостей, позволяющих перехватывать звонки, они есть. Для перехвата трафика злоумышленники могут использовать ложные базовые станции (они же — ловушки IMSI). Но такое «удовольствие» требует серьезных финансовых трат, высочайшего уровня квалификации и имеет массу технических, а также организационных моментов. Далеко не каждый сервис или сайт «достоин» таких трудозатрат. Учитывая эти факторы, о доставке кодов в голосе можно говорить, как о более надежном и защищенном способе организации двухфакторной аутентификации и решения других задач, связанных с обеспечением защищенности и конфиденциальности.
В общем, идеальных решений нет. У каждой технологии есть свои нюансы, которые нужно учитывать при выборе подходящего вам варианта.