Как стать автором
Обновить

Комментарии 18

Возможно ли, что оператора, продавшего или сдавшего в аренду доступ в сеть, однажды забанят? Примерно как было с сертификатами WoSign.

Вообще есть хоть какая-то возможность административных костылей, пока не сделают изменения в самой сети?

Проще самим пользователям отказаться от использования SMS в критичных областях типа банкинга, наверное.


Возможно, для операторов такой бан выйдет дороже — это же честные клиенты лишатся роуминга в этой стране, да и слишком многих может придётся забанить.

НЛО прилетело и опубликовало эту надпись здесь
хакерам удалось перехватывать коды для двухфакторной аутентификации
То есть, хакеры пробрутили, протроянили, либо другим путем получили пароли «ряда пользователей», и для самой атаки только понадобилось перехватывать СМС-ки?
Может надо изначально логин защитить лучше? То есть, первофакторную аутентификацию.
Получается, что с безопасностью вообще всё плохо на всех уровнях.

Двухфакторная аутентификация для того и была придумана, чтобы защитить аккаунт при компрометации логина и пароля. Вместо смсок это может быть лист с одноразовыми паролями, выданный банкоматом. И сейчас всё идет в сторону многофакторной аутентификации, потому что это еще безопаснее.

А есть хоть один банк с MFA через приложение (Google Authenticator или своё), а не через SMS или одноразовые пароли на бумажке?
Как минимум в Украине таких несколько. Но вообще банки, особенно старые — жутко неповоротливые конторы, которые сильно отстают технически от остальной it-индустрии.

Так это же костыль от бессилия сделать нормальную аутентификацию, причем используя средства совсем для этого не предназначенные. И об этом уже писали.

Всё надо шифровать. И смски тоже.

Уже. Только как-то по странному назвали нью-СМС — Viber…
надо менять людей, чтобы они не воровали. шифрование — это костыль

Шифровать наверное будет проще чем изменить людей.

РПЦ как раз этим и занимается, надо только подождать…
НЛО прилетело и опубликовало эту надпись здесь
Клиентом банка, который организовал двухфакторку по СМС, я бы ни за что на свете не стал. В Швеции все решили проще — каждому клиенту выдается генератор одноразовых паролей, который работает при ставленной карте (специальной или обычной банковской) и предоставлении пин-кода от карты.

Кроме того есть служба BankID, у которой тоже есть изъяны, но она не так дырява как СМС.
НЛО прилетело и опубликовало эту надпись здесь
Не анализировал, но я думаю найти материал на эту тему можно. Поищу и если найду напишу в комментарии тут.

Но по идее реверсить и не надо, достаточно копии чипа на карточке :)
НЛО прилетело и опубликовало эту надпись здесь
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.