Если вы заботитесь о своей кибербезопасности, возможно, вы включили двухфакторную аутентификацию для своих наиболее важных учетных записей (электронная почта, интернет-банкинг и т. д.).
Но со всеми доступными мобильными вредоносными программами (что в основном является проблемой для пользователей Android), вам может быть интересно, что безопаснее: использовать SMS-коды или приложение для проверки подлинности?
Перечислим плюсы и минусы в этой статье, чтобы вы могли принять обоснованное решение: SMS или приложение для аутентификации — что лучше для двухфакторной аутентификации?
Во многих случаях выбор между SMS и приложением-аутентификатором сводится к использованию того, что вам удобнее. Но если вам интересно узнать о плюсах и минусах каждого из них, читайте и дайте знать в комментариях, какой вариант вы предпочитаете и почему.
(Не все службы с поддержкой 2FA предлагают оба варианта, но в рамках этого упражнения мы предполагаем, что вы можете выбирать между ними.)
Плюсы и минусы SMS-кодов
Плюсы
- СМС коды удобны. Нет никаких проблем с загрузкой приложения и настройкой каждой учетной записи. Это может быть единственный вариант, если у вас нет смартфона.
- SMS-аутентификация может быть канарейкой в угольной шахте. Если кто-то пытается взломать вашу учетную запись, сообщения двухфакторной аутентификации на вашем телефоне предупреждают, что пора провести расследование (и сменить пароль).
Минусы
- Мошенник может захватить ваши SMS-сообщения с помощью мошенничества с заменой SIM-карты . Если им удастся убедить магазин мобильных телефонов в том, что это вы, они могут заставить их выпустить замену SIM-карты, закодированной с вашим номером телефона. Ваш телефон отключится, и они начнут принимать ваши звонки и сообщения, включая коды 2FA.
- NIST объявил, что эпоха двухфакторной аутентификации на основе SMS прошла .
Плюсы и минусы кодов приложений для аутентификации
Плюсы
- Замена SIM-карты не приведет к перехвату ваших кодов 2FA, если вы используете приложение для аутентификации. Коды зависят от самого приложения, а не от вашей SIM-карты.
- Приложения-аутентификаторы работают, даже если у вас нет мобильной связи.
Минусы
- Приложения-аутентификаторы зависят от общего секрета, который необходимо хранить как приложению, так и серверу. Это «начальное число» сочетается со временем для генерации кода 2FA. Если мошенник может взломать приложение или сервер и восстановить секрет, они могут клонировать ваши коды 2FA на неопределенный срок. Коды SMS — это просто случайные значения, отправляемые сервером, поэтому нет «начального числа», с помощью которого мошенник мог бы предсказать следующее в последовательности.
- Когда вы получаете доступ к онлайн-сервисам со своего смартфона, вы обычно запускаете приложение-аутентификатор на том же устройстве. Это означает, что у мошенников есть общая точка компромисса для обоих факторов вашей двухфакторной аутентификации. Второй, легкий «функциональный телефон», используемый для кодов SMS, упрощает разделение этих двух факторов.
