Получали ли вы когда-нибудь текстовое сообщение с кодом при входе в свой банковский счет или электронную почту? Это пример SMS-аутентификации в действии. Это простая мера безопасности, которая отправляет одноразовый пароль (OTP) на ваш телефон с помощью текстового сообщения для подтверждения вашей личности.
В связи с растущими угрозами кибербезопасности предприятия и частные лица уже давно полагаются на SMS-аутентификацию для обеспечения дополнительного уровня безопасности. Но действительно ли это лучший вариант? В этом блоге мы расскажем о том, как работает SMS-аутентификация, о ее плюсах и минусах, а также о существующих альтернативах, обеспечивающих безопасность.
Что такое SMS-аутентификация?
SMS-аутентификация - это процесс безопасности, который проверяет личность пользователя, отправляя одноразовый пароль в виде текстового сообщения на его зарегистрированный номер телефона. Этот код, известный как номер SMS-аутентификации, вводится в форму входа для подтверждения того, что лицо, пытающееся получить доступ к учетной записи, является владельцем зарегистрированного номера телефона.
Этот процесс широко используется в различных онлайн-сервисах, таких как:
- Банковские приложения (для подтверждения транзакций или входа в систему)
- Службы электронной почты (например, Gmail и Outlook)
- Платформы электронной коммерции (для защиты учетных записей клиентов)
- Аккаунты в социальных сетях (Facebook, Instagram, Twitter и т. д.)
SMS-аутентификация играет важную роль в двухфакторной (2FA) и многофакторной (MFA) аутентификации.
- Двухфакторная аутентификация (2FA): Двухфакторная аутентификация SMS предполагает использование SMS-кода для аутентификации наряду с паролем для входа в систему. Даже если хакер украл чей-то пароль, войти в аккаунт без SMS-кода будет невозможно.
- Многофакторная аутентификация (MFA) расширяет понятие 2FA, добавляя несколько факторов проверки, таких как отпечаток пальца, скан лица или ключ безопасности. Это еще больше затрудняет незаконный доступ.
С помощью процесса аутентификации по текстовым сообщениям организациям удалось значительно снизить вероятность взлома паролей или слабых паролей, приводящих к нарушениям безопасности. Однако эта методология не лишена недостатков, о чем будет рассказано в последующих разделах.
Как работает SMS-аутентификация?
Процесс SMS-аутентификации имеет простую, но эффективную структуру:
Шаг 1: Попытка входа пользователя в систему: Когда пользователь пытается войти в систему, система проверяет, требует ли его учетная запись SMS-аутентификации.
Шаг 2: Отправка SMS-кода: Для входа в систему или проведения транзакций создается OTP, который отправляется на ваш телефон по SMS. Этот код уникален и действителен только в течение короткого времени.
Шаг 3: Пользователь вводит код: Получив код на свой телефон, вы вводите его в нужное поле на сайте или в приложении.
Шаг 4: Процесс верификации: Если вы ввели правильный код, доступ будет предоставлен. Если нет, необходимо запросить новый код.
Этот метод гарантирует, что войти в систему смогут только лица, имеющие доступ к зарегистрированному номеру телефона, хотя некоторые хакеры разработали способы обойти эту меру безопасности.
Коды SMS-аутентификации - типы одноразовых паролей (OTP)
Одноразовые пароли лежат в основе текстовой аутентификации. Эти пароли представляют собой временные коды, используемые для подтверждения личности пользователя во время входа в систему или транзакций. Вместо того чтобы полагаться на статический пароль, который можно повторно использовать, OTP обеспечивают, чтобы при каждой попытке входа в систему требовался новый код.
Существует два основных типа OTP, используемых в SMS для аутентификации:
1. Одноразовый пароль, основанный на времени (TOTP)
Одноразовый пароль, основанный на времени (TOTP), - это OTP, срок действия которого истекает через короткий промежуток времени, обычно от 30 до 60 секунд. Если пользователь не вводит код в течение этого времени, он становится недействительным, и он должен запросить новый.
Как работает TOTP:
Шаг 1: Пользователь пытается войти в учетную запись.
Шаг 2: Система генерирует случайный 6- или 8-значный код.
Шаг 3: Код отправляется по SMS на телефон пользователя.
Шаг 4: Пользователь вводит код в течение допустимого времени (30-60 секунд).
Шаг 5: При правильном вводе система предоставляет доступ.
Почему используется TOTP:
- Предотвращает повторное использование злоумышленниками украденных или перехваченных OTP.
- Снижает риск атак методом "грубой силы", поскольку коды быстро заканчиваются.
- Повышает безопасность, обеспечивая недолговечность каждого OTP.
Пример TOTP в действии:
Представьте, что вы входите в свой аккаунт в интернет-банке. Вы вводите пароль, и банк присылает вам код аутентификации в текстовом сообщении, срок действия которого истекает через 30 секунд. Вы быстро проверяете телефон, вводите код и получаете доступ к своему счету. Если вы задержитесь, код не сработает, и вам понадобится новый.
2. Одноразовый пароль на основе хэша (HOTP)
Одноразовый пароль на основе хэша (HOTP) - это еще один тип OTP, но, в отличие от TOTP, он не имеет фиксированного срока действия. Вместо этого он остается действительным до тех пор, пока не будет использован.
Как работает HOTP:
Шаг 1: Система генерирует уникальный OTP на основе математического алгоритма.
Шаг 2: Код отправляется пользователю через SMS с подтверждением.
Шаг 3: Пользователь вводит OTP во время входа в систему.
Шаг 4: После ввода OTP помечается как использованный и не может быть использован повторно.
Почему используется HOTP:
- Идеально подходит для ситуаций, когда пользователь может не сразу получить SMS.
- Хорошо работает в регионах с плохим подключением к сети.
- Предотвращает проблемы, связанные с нехваткой времени, поскольку OTP остается действительным до тех пор, пока не будет использован.
Пример HOTP в действии:
Вы входите в свой корпоративный почтовый ящик, и система отправляет на ваш телефон текстовый код аутентификации. Вы отвлеклись и не сразу ввели код. К счастью, поскольку срок действия HOTP не зависит от времени, вы можете ввести тот же код даже через несколько минут. Однако после того, как код будет использован, его нельзя будет повторно ввести.
Какой OTP является более безопасным?
TOTP обычно считается более безопасным, чем HOTP, поскольку он ограничивает временной промежуток, в течение которого злоумышленники могут использовать украденный OTP. Однако оба метода обеспечивают лучшую безопасность, чем традиционные пароли.
- Согласно недавнему отчету Forbes, ссылающемуся на "привилегированный разговор с инсайдерами Google", впервые стало известно, что SMS-коды будут отменены при аутентификации и заменены QR-кодами, чтобы "уменьшить влияние безудержного, глобального злоупотребления SMS".
Плюсы SMS-аутентификации
Хотя SMS-аутентификация, возможно, и не является надежной, она по-прежнему остается одной из самых популярных мер безопасности. Большинство организаций по-прежнему доверяют ей, потому что:
1. Простой и удобный
Это очень низкопороговый механизм безопасности, поскольку пользователям не нужно устанавливать специальное программное обеспечение или приложения; им нужен только телефон, способный принимать обычные текстовые сообщения.
Пример: Когда вы заходите в онлайн-банк и получаете текстовое сообщение с кодом аутентификации, вам нужно просто ввести его на сайте. Это полезно для того, чтобы усложнить банковские счета, не делая их двусмысленными и, следовательно, сложными в использовании.
2. Универсально доступный
В отличие от аутентификации на основе приложений, для которой требуется смартфон, SMS-аутентификация может работать с любого мобильного телефона. Это выгодно для компаний, чьи клиенты находятся в районах, где мало смартфонов или стабильного интернет-соединения.
Государственные и финансовые службы используют SMS-аутентификацию, которая охватывает различные слои населения, даже тех, кто имеет только самые простые телефоны и поэтому может проходить аутентификацию с помощью обычных SMS-сообщений.
3. Не требуется дополнительного оборудования или программного обеспечения
Некоторые средства защиты, такие как персонализированные электронные ключи или биометрическая аутентификация, требуют использования только специализированных устройств. При SMS-аутентификации вам больше ничего не нужно - только номер телефона.
Это недорогое решение для компаний, которым требуется повышенная безопасность без больших затрат на методы аутентификации.
4. Работает даже без интернета
Одно из главных преимуществ аутентификации на основе текстовых сообщений заключается в том, что она не требует доступа в Интернет. В то время как приложения-аутентификаторы и системы проверки электронной почты все еще нуждаются в Wi-Fi или мобильных данных, SMS работает через сотовую сеть.
Таким образом, он может быть полезен даже в районах с плохим доступом к Интернету, гарантируя, что пользователи смогут подтвердить свою личность даже в автономном режиме.
5. Дополнительный уровень безопасности
SMS-аутентификация не является одним из самых надежных способов обеспечения безопасности, но она гораздо безопаснее, чем использование одного лишь пароля. Даже если хакеру удастся украсть чей-то пароль, он не сможет завершить процесс входа в систему, не имея доступа к телефону.
Например, если киберпреступник взломает пароль пользователя к электронной почте в результате утечки данных, дополнительный шаг еще больше усложнит задачу, поскольку хакеру потребуется номер SMS, чтобы получить доступ.
-Представитель Gmail Росс Ричендрафер
Минусы и риски безопасности SMS-аутентификации
Несмотря на все свои плюсы, SMS-аутентификация имеет серьезные проблемы с безопасностью и удобством использования. Поэтому некоторые киберэксперты призывают использовать альтернативные методы аутентификации.
1. Уязвимость к атакам с подменой SIM-карт
Атаки с подменой SIM-карт - одна из самых больших угроз для SMS-аутентификации. В ходе этой атаки преступники убеждают операторов мобильной связи перенести телефонный номер, закрепленный за жертвой, на другую SIM-карту, находящуюся под их контролем.
После успешного взлома специалисты по замене sim-карты контролируют аккаунт и получают доступ к телефону, используя текстовые коды для подтверждения.
- Барт Стивенс из Blockchain Capital потерял $6,3 млн в результате взлома криптовалюты SIM-Swap!
2. Восприимчивость к фишингу и социальной инженерии
Хакеры используют фишинговые электронные письма, поддельные веб-сайты или мошеннические телефонные звонки, чтобы заманить пользователей и заставить их сообщить номер SMS-аутентификации.
Хакеры могут рассылать поддельные электронные письма, выдавая себя за представителей банка, и просить пользователя сообщить текстовый код аутентификации на поддельном сайте. Если жертва отвечает и поддается на эту ловушку, код дает хакеру доступ к ее счету и позволяет управлять им.
- По данным Национального института стандартов и технологий (NIST), аутентификация на основе SMS уязвима для фишинга и атак типа "человек посередине". Их руководство (SP 800-63B) однозначно не рекомендует использовать SMS в приложениях с высоким уровнем безопасности.
3. SMS-сообщения могут быть перехвачены
В отличие от других механизмов аутентификации, SMS-сообщения отправляются без шифрования, что делает их открытыми для перехвата любым человеком. С помощью вредоносного ПО или других видов атак, использующих недостатки в мобильных сетях, злоумышленник при определенных обстоятельствах может прочитать SMS-сообщения и получить командные коды для входа в систему.
4. Небезопасно для операций с высокой степенью риска
Хотя SMS-аутентификация полезна для общего входа в систему, она не рекомендуется для очень чувствительных действий, таких как финансовые операции или доступ к важной бизнес-информации.
Теперь многие финансовые учреждения и службы безопасности предприятий стали отказываться от использования SMS-проверки для любых транзакций с высоким уровнем риска, призывая организации вместо этого использовать MFA или беспарольную авторизацию.
5. Требуется мобильная сеть - нет сигнала, нет доступа
В то время как коды для аутентификации с помощью приложений могут быть получены в автономном режиме, SMS-сообщения позволяют проводить аутентификацию таким образом - для получения SMS требуется активная мобильная сеть. Поэтому, например, если пользователь находится в регионе с низким уровнем сигнала или путешествует в другую страну без роуминга, SMS-коды аутентификации могут быть не доставлены пользователю.
Пример: Руководитель, находящийся в командировке и не имеющий возможности получить номер аутентификации SMS в пути, не сможет получить доступ к корпоративной электронной почте.
- Финансовые учреждения: Банки должны уделять первостепенное внимание решениям MFA, таким как биометрия или приложения для аутентификации, чтобы предотвратить захват счетов.
- Поставщики медицинских услуг: Аутентификация в соответствии с требованиями HIPAA требует более надежной защиты, чем SMS.
- Электронная коммерция и социальные сети: SMS-аутентификация по-прежнему широко используется для входа в систему с низким уровнем риска, но ее следует сочетать с резервными методами аутентификации.
Современные методы аутентификации
В связи с ростом числа киберугроз предприятия переходят от SMS-аутентификации к более надежным методам защиты. Вот некоторые из наиболее безопасных и передовых альтернатив аутентификации, доступных сегодня:
1. Многофакторная аутентификация (MFA) - сочетание нескольких методов
Многофакторная аутентификация (MFA) повышает безопасность, требуя от пользователей подтверждать свою личность несколькими методами, а не только с помощью SMS.
MFA использует три основных типа факторов аутентификации:
- То, что вы знаете - Пароль, PIN-код или вопрос безопасности.
- То, что у вас есть - SMS OTP, приложение для аутентификации или физический ключ безопасности.
- То, что вы есть - Биометрические данные, такие как отпечатки пальцев, распознавание лица или сканирование сетчатки глаза.
Сочетая два или более этих факторов, MFA значительно затрудняет взлом учетных записей хакерами.
Пример МИД в действии:
При входе в интернет-банк вы вводите свой пароль (то, что вы знаете). Затем вы получаете код аутентификации в текстовом сообщении на свой телефон (то, что у вас есть). Некоторые банки также могут запросить отпечатки пальцев или распознавание лица (то, чем вы являетесь). Такая комбинация обеспечивает максимальную безопасность.
2. Аутентификация без пароля
Пароли - самое слабое звено в цепи кибербезопасности, поскольку их можно повторно использовать, угадывать и легко красть. Беспарольная аутентификация призвана полностью заменить пароли, обеспечив более простой и безопасный процесс входа в систему.
- Биометрическая аутентификация - Отпечатки пальцев, распознавание лица или голоса.
- Ключи безопасности - Физические устройства USB или NFC, такие как YubiKey.
- Приложения-аутентификаторы - Приложения типа Google Authenticator или Microsoft Authenticator, которые генерируют коды, чувствительные к времени.
Пример аутентификации без пароля в действии:
Вы получаете доступ к внутренней системе своей компании, регистрируясь по отпечатку пальца. Система распознает ваш отпечаток пальца и открывает доступ без ввода пароля.
3. Единый вход (SSO) для беспрепятственного доступа
Single Sign-On (SSO) позволяет пользователям входить в различные приложения и службы с помощью единого уникального процесса аутентификации.
Как работает SSO:
Шаг 1: Пользователь входит в систему с помощью SMS, биометрических данных или другого безопасного метода аутентификации.
Шаг 2: После аутентификации пользователь получает доступ ко всем подключенным приложениям без необходимости повторного входа в систему.
Преимущества SSO:
- Уменьшает усталость от паролей благодаря отсутствию необходимости запоминать несколько паролей.
- Повышение безопасности за счет централизованной аутентификации.
- Улучшение пользовательского опыта за счет упрощения доступа к различным услугам
Пример SSO в действии:
Войдя в свой аккаунт Google, вы автоматически получаете доступ к Gmail, Google Drive, YouTube и другим сервисам Google без необходимости повторного входа в систему.
4. OAuth и OpenID Connect для безопасной авторизации
OAuth и OpenID Connect - это современные системы аутентификации, которые позволяют пользователям входить на сайты или в приложения, используя учетные данные сторонних провайдеров, таких как Google, Facebook или Microsoft.
Как работают OAuth и OpenID Connect:
Шаг 1: Вместо того чтобы создавать новое имя пользователя и пароль для веб-сайта, вы решили войти в систему с помощью Google.
Шаг 2: Google проверяет вашу личность и дает разрешение на доступ к запрашиваемой службе.
Шаг 3: Веб-сайт аутентифицирует вас на основе подтверждения Google без необходимости вводить отдельный пароль.
Почему бизнес предпочитает OAuth и OpenID Connect:
- Отпадает необходимость в подтверждении SMS или паролях.
- Пользователям не нужно запоминать несколько учетных данных для входа в систему.
- Снижает риски безопасности, связанные с повторным использованием паролей.
Пример OAuth в действии:
Вы заходите на новый сайт электронной коммерции и выбираете "Войти с помощью Google". Вместо того чтобы создавать новую учетную запись, вы входите в систему, используя свои учетные данные Google. Сайт получает аутентификацию от Google, и вы можете сразу же приступить к покупкам.
Крупные технологические компании, такие как Apple, Google и Microsoft переходят на Passkeys - метод аутентификации, который позволяет отказаться от паролей и SMS-кодов. Эти современные методы используют криптографическую аутентификацию, что делает их устойчивыми к фишингу и перехвату.
SMS с общим доступом ВходящиеЗаключение
Несмотря на то что SMS-аутентификация сопряжена с рисками для безопасности, она остается широко распространенным методом проверки пользователей. Предприятиям следует оценить свои потребности в безопасности и рассмотреть возможность использования SMS наряду с более безопасными методами аутентификации, такими как OTP на основе приложений или биометрическая верификация.
По мере развития киберугроз компаниям приходится пересматривать свои стратегии аутентификации. Внедрение MFA, биометрической аутентификации или беспарольных логинов может значительно снизить риски безопасности. Если вы хотите усовершенствовать свои системы аутентификации, проконсультируйтесь с экспертами по кибербезопасности или изучите такие решения, как ControlHippo.
Обновлено: 29 марта 2025 г.
Jainy Patel is a content strategist who specializes in omnichannel communication solutions. She develops innovative marketing strategies that unify messaging across various channels, ensuring a consistent and engaging customer journey. Jainy is passionate about optimizing communication processes and crafting targeted content that resonates with audiences at every touchpoint.