Pull to refresh

Comments 18

Возможно ли, что оператора, продавшего или сдавшего в аренду доступ в сеть, однажды забанят? Примерно как было с сертификатами WoSign.

Вообще есть хоть какая-то возможность административных костылей, пока не сделают изменения в самой сети?

Проще самим пользователям отказаться от использования SMS в критичных областях типа банкинга, наверное.


Возможно, для операторов такой бан выйдет дороже — это же честные клиенты лишатся роуминга в этой стране, да и слишком многих может придётся забанить.

UFO landed and left these words here
хакерам удалось перехватывать коды для двухфакторной аутентификации
То есть, хакеры пробрутили, протроянили, либо другим путем получили пароли «ряда пользователей», и для самой атаки только понадобилось перехватывать СМС-ки?
Может надо изначально логин защитить лучше? То есть, первофакторную аутентификацию.
Получается, что с безопасностью вообще всё плохо на всех уровнях.

Двухфакторная аутентификация для того и была придумана, чтобы защитить аккаунт при компрометации логина и пароля. Вместо смсок это может быть лист с одноразовыми паролями, выданный банкоматом. И сейчас всё идет в сторону многофакторной аутентификации, потому что это еще безопаснее.

А есть хоть один банк с MFA через приложение (Google Authenticator или своё), а не через SMS или одноразовые пароли на бумажке?
Как минимум в Украине таких несколько. Но вообще банки, особенно старые — жутко неповоротливые конторы, которые сильно отстают технически от остальной it-индустрии.

Так это же костыль от бессилия сделать нормальную аутентификацию, причем используя средства совсем для этого не предназначенные. И об этом уже писали.

Уже. Только как-то по странному назвали нью-СМС — Viber…
надо менять людей, чтобы они не воровали. шифрование — это костыль

Шифровать наверное будет проще чем изменить людей.

РПЦ как раз этим и занимается, надо только подождать…
UFO landed and left these words here
Клиентом банка, который организовал двухфакторку по СМС, я бы ни за что на свете не стал. В Швеции все решили проще — каждому клиенту выдается генератор одноразовых паролей, который работает при ставленной карте (специальной или обычной банковской) и предоставлении пин-кода от карты.

Кроме того есть служба BankID, у которой тоже есть изъяны, но она не так дырява как СМС.
UFO landed and left these words here
Не анализировал, но я думаю найти материал на эту тему можно. Поищу и если найду напишу в комментарии тут.

Но по идее реверсить и не надо, достаточно копии чипа на карточке :)
UFO landed and left these words here
Only those users with full accounts are able to leave comments. Log in, please.

Information

Founded
2002
Location
Россия
Website
www.ptsecurity.com
Employees
501–1,000 employees
Registered

Habr blog