Когда дело доходит до защиты ваших паролей и конфиденциальных данных, не все методы двухфакторной аутентификации (2FA) одинаково надежны. Многие сервисы все еще предлагают 2FA на основе SMS, но такие платформы, как Psono, полностью избегают этого в пользу более надежных вариантов, таких как WebAuthn, YubiKey и TOTP (Time-Based One-Time Passwords).

Это не просто предпочтение — это необходимость для надежной безопасности. 2FA на основе SMS имеет значительные уязвимости, и реальные атаки доказали, что это легкая мишень для хакеров. В этом блоге мы разберем, почему 2FA на основе SMS слаба и покажем реальные атаки, демонстрирующие ее недостатки.

🔒 Слабость 2FA на основе SMS

Аутентификация на основе SMS уязвима для множества атак, включая:

  • Подмена SIM-карты – Атакующие обманом заставляют операторов мобильной связи перенести номер телефона жертвы на новую SIM-карту, перехватывая все SMS-коды.
  • Атаки на SS7 – Использование уязвимостей в глобальном протоколе Сигнальной Системы №7 (SS7) для удаленного перехвата сообщений SMS.
  • Фишинг и социальная инженерия – Обман пользователей с целью раскрытия кодов на основе SMS через поддельные страницы входа.

Эти риски делают 2FA на основе SMS одной из самых слабых форм аутентификации.

🛡️ Почему Psono использует более надежную 2FA

Psono уделяет первостепенное внимание безопасности и поддерживает только надежные методы 2FA, включая:

  • WebAuthn (FIDO2) – Использует криптографию с открытым ключом и биометрию или аппаратные ключи безопасности (например, YubiKey).
  • YubiKey и другие ключи безопасности – Физические токены, которые требуют прямого доступа для аутентификации.
  • TOTP (Google Authenticator, Authy и т.д.) – Одноразовые пароли, генерируемые на устройстве, а не передаваемые по SMS.

Эти методы значительно более безопасны, поскольку они устойчивы к фишингу, не зависят от мобильных операторов и устраняют риски удаленного захвата.

📢 Реальные атаки на 2FA на основе SMS

Чтобы проиллюстрировать, почему Psono отвергает аутентификацию на основе SMS, вот реальные атаки, которые использовали ее слабости:

1. Нацеливание Китая на телекоммуникации США (эксплойты SS7 и другие)

В феврале 2024 года ФБР и CISA выпустили совместное предупреждение о хакерах, спонсируемых государством Китая, нацеленных на сети коммерческих телекоммуникаций. Эти атаки эксплуатировали уязвимости в протоколе SS7 — протоколе, используемом для маршрутизации сообщений SMS. Атакующие смогли перехватить сообщения аутентификации, демонстрируя, как 2FA на базе SMS может быть скомпрометирована на системном уровне.

2. Атака через подмену SIM-карты на аккаунт CEO Twitter (X) Джека Дорси (2019)

В 2019 году аккаунт CEO Twitter на тот момент, Джек Дорси, был взломан через атаку подмены SIM-карты. Хакеры убедили его оператора мобильной связи перенести его номер телефона на свою SIM-карту, что позволило им перехватывать коды 2FA на основе SMS и получить контроль над его аккаунтом в Twitter.

3. Атаки на Coinbase в результате подмены SIM-карт (2021) – украдено тысячи долларов

В 2021 году Coinbase раскрыл, что более 6000 клиентов потеряли средства из-за массовой атаки подмены SIM-карт. Хакеры сбросили пароли жертв, используя перехваченные коды SMS, получили полный контроль над аккаунтами и украли криптовалюту.

4. Утечка данных Reddit в 2018 году – 2FA на основе SMS не справилась

В 2018 году Reddit подвергся утечке данных, когда хакеры получили доступ к аккаунтам сотрудников, несмотря на включенную 2FA на основе SMS. Атакующие использовали перехваченные коды SMS для обхода аутентификации, раскрывая конфиденциальные данные пользователей.

🚀 Будущее 2FA: больше никаких SMS

Если вы все еще используете 2FA на основе SMS, пора перейти к более надежной альтернативе, такой как аутентификация WebAuthn, YubiKey или на основе TOTP. Приверженность Psono безопасности означает, что они не будут компромиссом, предлагая аутентификацию на основе SMS.

Хотите оставаться в безопасности? Используйте аппаратные ключи безопасности, приложения TOTP или биометрическую аутентификацию — никогда не полагайтесь только на аутентификацию на основе SMS.

Защищайте свои аккаунты правильно — откажитесь от SMS 2FA!

Часто задаваемые вопросы о двухфакторной аутентификации (2FA)

Что такое двухфакторная аутентификация (2FA) и почему это важно?

Двухфакторная аутентификация (2FA) — это дополнительный уровень безопасности, требующий двух форм аутентификации перед получением доступа к аккаунту. Вместо использования только пароля, вам также требуется второй фактор, такой как:

  • Одноразовый код из приложения аутентификации (TOTP)
  • Аппаратный ключ безопасности (например, YubiKey, Titan Security Key)
  • Биометрическая аутентификация (отпечаток пальца, распознавание лиц)

Это значительно снижает риск несанкционированного доступа, даже если злоумышленник получит ваш пароль.

Какие самые сильные типы 2FA?

Самые надежные вторые факторы — это те, которые устойчивы к фишингу и не могут быть легко перехвачены. К ним относятся:

  • Ключи безопасности FIDO2/WebAuthn (например, YubiKey, Titan Security Key)
  • Приложения аутентификации на основе TOTP (Google Authenticator, Authy, Aegis)
  • Passkeys (аутентификация без пароля с помощью биометрии или аппаратных ключей безопасности)

Слабые методы (чтобы избегать):

  • 2FA на основе SMS – Уязвима для атак подмены SIM-карт и эксплойтов SS7
  • 2FA на основе электронной почты – Может быть скомпрометирована, если ваш email взломан

Почему 2FA на основе SMS считается небезопасной?

2FA на основе SMS уязвима для множества атак, таких как:

  • Атаки с подменой SIM-карты – Хакеры обманывают вашего мобильного оператора, чтобы он перенес ваш номер к ним на SIM-карту, что позволяет им получать ваши коды 2FA.
  • Эксплойты SS7 – Атакующие перехватывают SMS-сообщения, используя уязвимости в инфраструктуре телекоммуникаций.
  • Фишинговые атаки – Поддельные сайты обманывают пользователей, заставляя вводить свои SMS-коды, позволяя злоумышленникам войти.

🔹 Лучшие альтернативы: Используйте аппаратные ключи безопасности или приложения TOTP вместо 2FA на основе SMS.

Что произойдет, если я потеряю свой второй фактор (e.g., телефон, YubiKey)?

Если вы потеряете доступ к вашему второму фактору, вы можете восстановить ваш аккаунт следующим образом:

  1. Используя резервные коды – Многие сервисы предоставляют одноразовые резервные коды при настройке 2FA. Храните их в безопасности.
  2. Используя резервное устройство – Некоторые приложения-аутентификаторы позволяют хранить коды TOTP на нескольких устройствах.
  3. Обращаясь в службу поддержки – Некоторые сервисы предлагают восстановление аккаунта, но это может быть медленно и требует подтверждения личности.
  4. Используя второй аппаратный ключ – Если ваш сервис это поддерживает, зарегистрируйте несколько ключей безопасности (основной + запасной).

🔹 Совет: Всегда настраивайте несколько методов аутентификации на случай сбоя одного из них.

Могут ли хакеры обойти 2FA?

Хотя 2FA значительно улучшает безопасность, некоторые методы могут быть обойдены с помощью сложных атак:

🚨 Распространенные методы атак:

  • Фишинговые атаки – Поддельные страницы входа обманывают пользователей, заставляя вводить и пароль, и код 2FA.
  • Атаки типа "человек посередине" (MitM) – Перехват токенов аутентификации на незащищенных сетях.
  • Подмена SIM-карт – Перенаправление кодов SMS на телефон злоумышленника.

Как это предотвратить:

  • Используйте аутентификацию, устойчивую к фишингу (WebAuthn, passkeys, ключи безопасности).
  • Включите аутентификацию, привязанную к устройству (чтобы токены не могли быть использованы повторно удаленно).
  • Будьте осторожны с подозрительными страницами входа – Всегда проверяйте URL перед вводом учетных данных.
написано Саша Пфайффер February 12, 2025
Документация Psono

Ищете больше?

Ознакомьтесь с нашими последними статьями здесь!