Двухфакторка (2FA) — почему SMS — это зло, и что использовать вместо него

Давайте сразу к делу. Я в этом бизнесе достаточно давно, чтобы видеть, как меняются уловки мошенников, но одна вещь остается неизменной — наивность пользователей. Вы все еще верите в пароли? Серьезно? В тот самый набор символов, который вы используете уже лет пять, лишь меняя цифру в конце? Ну, у меня для вас плохие новости. Ваш пароль — это труп. Он уже давно слит в сеть, продается за копейки в даркнете или просто угадывается за пару минут. Это не замок на вашей двери, это скорее табличка «пожалуйста, не входите». И вот тут на сцену выходит она — двухфакторная аутентификация. Спасительница, надежда и опора. Идея-то гениальная, не спорю. Чтобы войти в аккаунт, нужен не только пароль (то, что вы знаете), но и что-то еще. Например, код с вашего телефона (то, что у вас есть). И все бы хорошо, но, как всегда, дьявол кроется в деталях. А именно в том, как этот код к вам попадает. Большинство до сих пор по старинке использует SMS. И вот об этом мы сегодня и поговорим, а точнее о двухфакторке (2FA), почему SMS — это зло, и что использовать вместо него. Потому что использовать SMS для защиты — это как пытаться потушить пожар бензином.

Почему же я так ополчился на старые добрые СМС-ки? Ну, понимаете, они никогда не создавались для безопасности. Вообще. Это технология из девяностых, ее придумали, чтобы передавать короткие текстовые сообщения, а не секретные коды для доступа к вашим деньгам и данным. Отправлять код подтверждения по SMS — это как пересылать ключ от квартиры обычной почтой в прозрачном конверте. Его может перехватить кто угодно по пути. Проблема в самой архитектуре сотовой связи. Существуют уязвимости вроде протокола SS7, которые позволяют, грубо говоря, перехватывать ваши сообщения и звонки. Для этого даже не нужно взламывать ваш телефон. Атака происходит на уровне оператора связи. Это сложно, дорого, и обычному пользователю вряд ли грозит, скажете вы? Может быть. Но есть способ куда проще и дешевле, который работает безотказно против обычных людей. И имя ему — SIM-свопинг. Улика 1 SIM-свопинг Вот здесь начинается самое интересное и, увы, самое реальное. SIM-свопинг, или подмена SIM-карты, — это чистой воды социальная инженерия. Мошеннику не нужно быть гениальным хакером. Ему нужно быть хорошим психологом и актером. Схема до безобразия проста и эффективна. news.store.rambler.ru Сначала на вас собирают небольшое досье. Имя, фамилия, номер телефона — это все легко найти в открытом доступе, особенно если вы где-то засветили свои данные. Дальше мошенник звонит вашему мобильному оператору. Он представляется вами. Говорит, что потерял телефон, или его украли, или старая симка размагнитилась — легенда может быть любой. Цель одна — убедить сотрудника оператоа выпустить новую SIM-карту с вашим номером. Думаете, это сложно? Как бы не так. Пара ответов на «секретные» вопросы, вроде девичьей фамилии матери (которую вы сами указали в соцсетях), и вот уже растерянный или просто уставший сотрудник поддержки верит ему. В этот момент ваша настоящая SIM-карта в телефоне превращается в бесполезный кусок пластика. Связь пропадает. А новая, активированная SIM-карта с вашим номером уже в руках у злоумышленника. А что это значит? Правильно, все коды подтверждения из банков, соцсетей и почты теперь приходят ему. И ваш надежный «второй фактор» только что открыл дверь ко всем вашим аккаунтам. Улика 2 Дыры в сотовой сети Так, с социальной инженерией разобрались. Но что, если я вам скажу, что ваши SMS можно перехватить, даже не трогая вашу SIM-карту? Звучит как сценарий из шпионского фильма, но это суровая реальность. Речь идет о старом, как мир, наборе протоколов под названием SS7. Это, по сути, служебный канал, по которому операторы связи по всему миру общаются друг с другом. Он нужен, чтобы вы могли звонить в роуминге, чтобы звонки до вас доходили и так далее. Проблема в том, что создавали его в те времена, когда все друг другу доверяли. Безопасность? Нет, не слышали. Доступ к этой сети можно получить, и тогда открывается ящик Пандоры. Можно отслеживать местоположение абонента, прослушивать разговоры и, конечно же, перехватывать SMS. Прямо в полете. Ваше сообщение с кодом просто не дойдет до вашего телефона, а приземлится прямиком на компьютер злоумышленника. Да, это дорого и сложно, требует специального оборудования и знаний. Это не инструмент для мелкого мошенника, который хочет угнать ваш аккаунт в «Одноклассниках». Но если вы представляете интерес для серьезных ребят, будь то бизнес-конкуренты или кто похуже, — знайте, ваша SMS-защита для них не преграда. Это просто открытая дверь. Улика 3 Фишинг и вредоносное ПО Хорошо, оставим шпионские игры. Есть способ куда прозаичнее, и он работает на миллионах пользователей каждый день. Вы сами устанавливаете шпиона в свой телефон. Да-да, именно так. Вы скачиваете какое-нибудь безобидное на вид приложеие — фонарик, игру, сборник гороскопов — а вместе с ним получаете трояна. Этот маленький гад сидит в системе тихо, не отсвечивает, но у него есть одна важная задача: читать все ваши входящие SMS и пересылать их своему хозяину. И вот вы заходите в свой онлайн-банк. Вводите логин, пароль. Банк, как положено, шлет вам SMS с кодом подтверждения. Вы его даже не успеваете увидеть. Троян его уже перехватил и отправил куда надо. Мошенник вводит код на своем компьютере и переводит ваши деньги. Все. Вы даже не поняли, что произошло. А началось все с того, что вам захотелось новый «супер-оптимизатор батареи». Понимаете, в этом случае ваш телефон, который должен быть вашим вторым фактором, вашей крепостью, сам становится предателем. И SMS-код ему в этом только помогает.

Ну что, я вас достаточно напугал? Надеюсь, что да. Потому что только осознав проблему, можно начать ее решать. Хватит ходить по минному полю, пора переходить на сторону света. К счастью, умные люди уже давно придумали надежные альтернативы SMS. Это мой рабочий инструментарий, который я рекомендую всем, кто не хочет однажды утром проснуться с пустым банковским счетом и угнанным почтовым ящиком. Давайте разберем его по порядку. Метод ‘Генератор кодов’ Это, пожалуй, самый сбалансированный вариант по соотношению безопасности и удобства. Речь идет о приложениях-аутентификаторах. Наверняка слышали про Google Authenticator, Microsoft Authenticator или Authy. Принцип их работы прост, как молоток. Вы устанавливаете такое приложение на свой смартфон. При подключении нового аккаунта (например, вашей почты) вы сканируете QR-код, и приложение начинает генерировать шестизначные коды, которые меняются каждые 30 секунд. В чем магия? Эти коды создаются на самом устройстве по специальному алгоритму, основанному на секретном ключе и текущем времени. Они никуда не передаются по сети. Чтобы их получить, злоумышленнику нужно физически завладеть вашим разблокированным телефоном. Никакой SIM-свопинг, никакой перехват SS7 тут не помогут. Это автономная система. И даже если на телефоне нет интернета или сотовой связи, коды все равно будут генерироваться. Это ваш личный, карманный генератор одноразовых паролей. Надежно и просто. Метод ‘Неприступная крепость’ Если вам нужна максимальная защита, бескомпромиссная, как удар кувалдой, то ваш выбор — аппаратные ключи безопасности. Это такие маленькие устройства, похожие на флешку, вроде YubiKey или Google Titan. Они работают по стандартам FIDO2/U2F. Это вершина эволюции двухфакторной аутентификации на сегодняшний день. Как это работает? Вы регистрируете этот ключ в своих аккаунтах. И теперь, чтобы войти, вам нужно не только ввести пароль, но и вставить этот ключ в USB-порт компьютера (или приложить к NFC-модулю смартфона) и коснуться его пальцем. Все. Физическое действие. Ключ общается с сайтом напрямую по защищенному протоколу, подтверждая, что это действительно вы. Подделать или перехватить это невозможно в принципе. Даже если мошенник украдет ваш пароль и создаст идеальную фишинговую страницу, без физического ключа у него ничего не выйдет. Это как иметь единственный в мире ключ от банковской ячейки. Потерять можно, но украсть на расстоянии — никак. Метод ‘Быстрое реагирование’ Есть еще один популярный способ — push-уведомления. Многие сервисы, особенно крупные вроде Google, Apple или банков, используют его. Вместо кода вам на доверенное устройство прилетает уведомление: «Это вы пытаетесь войти в аккаунт?». И две кнопки: «Да» и «Нет». Удобно? Чертовски. Не нужно ничего вводить, просто тапнул по экрану. Но тут есть свой подводный камень, и имя ему — человеческий фактор. Мы привыкли смахивать и нажимать на уведомления не глядя. Сообщение из мессенджера, лайк в соцсети, попытка входа в аккаунт… В потоке информации легко машинально нажать «Да», даже не вчитываясь, особенно если злоумышленник будет долбить вас запросами посреди ночи. Этот метод гораздо лучше SMS, не спорю, он не подвержен перехвату. Но он требует от вас постоянной бдительности. Одно неверное нажатие — и вы сами пустили вора в дом.

Сравнение методов аутентификации

Чтобы вы могли выбрать оптимальный баланс между защитой и удобством, я составил сравнительную таблицу:

План побега

Итак, диагноз поставлен, лекарства выписаны. Осталось только начать лечение. Переход с SMS на нормальную двухфакторку — дело десяти минут. Просто сделайте это. Прямо сейчас. Вот вам пошаговая инструкция, как сбежать из SMS-тюрьмы.

• Шаг 1. Выберите оружие.или выбрать более функциональное решение. Google Authenticator — это база, но для профи есть варианты получше: Aegis Authenticator (Android) / Raivo (iOS) — золотой стандарт приватности. Это Open Source решения. Они хранят базу кодов в зашифрованном виде локально на устройстве, поддерживают биометрию и позволяют делать экспорт ключей (чего долго не умел Google). Bitwarden / 1Password — если вы используете менеджеры паролей (а вы должны), в платных версиях часто встроен TOTP-генератор. Это удобно: при входе вставляет и пароль, и 2FA-код. Google Authenticator — с 2023 года добавил облачную синхронизацию. Важно: убедитесь, что она работает корректно, иначе при взломе вашего Google-аккаунта хакеры получат доступ и к кодам 2FA.
• Шаг 2. Начните с главного. Откройте настройки безопасности самого важного вашего аккаунта — основной электронной почты. Именно через нее можно восстановить доступ ко всему остальному.
• Шаг 3. Найдите нужную дверь. Ищите раздел «Безопасность», «Вход в аккаунт» или «Двухфакторная аутентификация». Включите ее, если она еще не активна.
• Шаг 4. Смените замок. В качестве способа подтверждения выберите «Приложение-аутентификатор» или «Authenticator App». Вам покажут QR-код. Откройте ваше новое приложение, нажмите «добавить аккаунт» и отсканируйте этот код.
• Шаг 5. Сохраните ключи от рая. В процессе настройки сервис обязательно предложит вам сохранить резервные (одноразовые) коды. Сделайте это! Распечатайте их и спрячьте в надежное место, где храните документы. Не на рабочем столе компьютера! Эти коды спасут вас, если вы потеряете телефон.
• Шаг 6. Сожгите мосты. После того как вы успешно настроили аутентификацию через приложение, вернитесь в настройки безопасноти и ОБЯЗАТЕЛЬНО удалите номер телефона как способ получения кодов. Иначе все это было зря.
• Шаг 7. Повторите. Проделайте эту операцию для всех критически важных сервисов: банков, социальных сетей, облачных хранилищ. Да, это займет немного времени, но это время — лучшая инвестиция в ваше спокойствие.

Вот и все. Теперь вы под защитой. Не идеальной, потому что идеальной защиты не существует. Но на несколько порядков более надежной, чем дырявое решето под названием SMS. Не будьте легкой добычей.

Часто задаваемые вопросы