Почему не стоит использовать SMS для двухфакторной аутентификации

Двухфакторная аутентификация стала привычной защитой для почты, маркетплейсов и платежных сервисов, но у SMS-кодов есть системные уязвимости. Сам канал SMS не задумывался как безопасный и потому остаётся удобной мишенью для перехвата и социального инжиниринга.

О том, почему не стоит использовать обычные SMS для получения кодов двухфакторной аутентификации, пишет MakeUseOf.

Почему не стоит использовать SMS для двухфакторной аутентификации

SMS-код часто выбирают из-за удобства: не нужно устанавливать приложения, достаточно указать номер телефона, а сообщение приходит даже на простой кнопочный телефон и без интернета. Именно эта доступность и сделала SMS самым массовым вариантом 2FA.

Проблема в том, что SMS работает поверх устаревшей телеком-инфраструктуры. Речь идет о протоколах сигнализации SS7, которые появились задолго до нынешней модели угроз и опираются на доверие внутри сети — без современных механизмов криптографической проверки источника сообщений. В такой модели злоумышленник, получивший доступ к сигнальной сети (в том числе через слабо защищенные звенья у провайдеров), потенциально может перехватывать или подменять SMS с одноразовыми кодами.

SMS не имеет end-to-end шифрования, которое стало нормой для мессенджеров и части сервисов обмена сообщениями. Это означает, что перехваченные сообщения могут быть прочитаны, а вместе с содержимым часто становятся доступными и технические данные, привязанные к доставке (метаданные).

Второй большой риск связан не с технологией, а с человеческим фактором: SIM-swapping. Речь идет о сценарии, когда злоумышленники обманом или через фишинг добиваются переноса номера жертвы на SIM-карту, которую контролируют сами — и тогда получают все коды 2FA, приходящие на этот номер.

Есть и практическая сторона: доставка SMS иногда подводит в критический момент — коды могут приходить с задержками или не приходить вовсе, и это затрудняет вход в сервис, когда доступ нужен срочно.

В качестве альтернативы SMS можно использовать приложения-аутентификаторы с одноразовыми кодами TOTP (они генерируются локально и обновляются через короткие интервалы), passkeys как ключ доступа, хранящийся на устройстве, а также аппаратные ключи безопасности.

При этом стоит помнить, что смартфон сегодня хранит гораздо больше, чем просто SMS-коды. В нем могут содержаться документы, банковские уведомления и другая конфиденциальная информация.

Похожая ситуация и с паролями, сохраненными в браузере. Возможность входить в аккаунты одним кликом кажется идеальным решением, особенно когда данные синхронизируются между телефоном, ноутбуком и планшетом. Однако удобство не всегда означает безопасность — и именно здесь кроется потенциальная точка компрометации.