» » Авторизация через мобильный телефон
24 сентября 2015; 12:47

Авторизация через мобильный телефон

Категория: Статьи



Когда-то давно была придумана авторизация в различных сервисах через мобильный телефон. Схема простая и должна была быть удобной для пользователей. Вы вводите номер своего сотового вместо логина и пароль, свой или полученный через SMS. Если пароль забыт, то его можно запросить так же через SMS.

И придёт он либо в открытом виде (если его хранит сервис), либо в виде кода, который потребуется для создания нового пароля, если сервис хранит только результат крипто-функции, аргументом которой является ваш пароль. А злоумышленнику достаточно лишь сделать дубликат вашей SIM-карты, чтобы получить доступ. При удачном стечении обстоятельств такой взлом окажется очень простым.

Из статьи на тему - Оператор мобильной связи не в силах предотвратить выдачу дубликатов сим-карт злоумышленникам habrahabr.ru/post/267447/

Список рекомендаций:
Как избежать подобной ситуации в условиях полной беспомощности мобильного оператора:

  1. В случае обнаружения выдачи дубликата сим-карты, немедленно блокируйте такую сим-карту и все связанные с ней платежные аккаунты и банковские карты.
  2. Звоните в офис банка и сотового оператора или или блокируйте через интернет, если еще есть такая возможность, не тратьте время на пеший путь.
  3. Используйте отдельный телефон и телефонный номер для работы с онлайн- и теле-банкингом.
  4. Если для авторизации вам достаточно sms, используйте примитивный мобильный телефон, а не смартфон.
  5. Никому и нигде не сообщайте номер этого телефона.
  6. Не устанавливайте абсолютно никаких лишних приложений, если используете смартфон для этих целей.
  7. Не пользуйтесь браузером или почтой на данном смартфоне.
  8. Не привязывайте все свои аккаунты к одной почте и\или одному номеру телефона.
  9. Не используйте очевидные или простые пароли для банковских или платежных приложений.
  10. Отключите геолокацию во всех встроенных социальных приложениях в смартфоне.
  11. Используйте отдельный аккаунт магазина приложений для смартфона, хранящего доступ к платежным и банковским аккаунтам.
  12. Не покупайте «анонимные» Sim-карты для своих основных счетов. Это может быть ловушкой злоумышленников.
  13. При первой возможности (и в дальнейшем регулярно) проверьте в офисе оператора, сколько на ваше имя зарегистрировано сим-карт.
  14. Если распоряжаетесь крупной суммой денег через онлайн-банкинг, попросите у банка услугу "криптокалькулятора".


Проблема серьёзная - mail.ru, ok.ru, vk.com,.. список можно продолжать.
Как-то я был свидетелем по уголовному делу в отношении неустановленных лиц по поводу взлома кое-каких моих сайтов. И беседовал со следователем о разном, на тему мою и отвлечённые. И вот в процессе разговора говорю ему, что он неправильно понимает, кому что принадлежит и что является неправомерным доступом к информации, а что нет.

Оказывается, что они выносят обвинительные заключения, суд выносит приговоры, а по всем соображениям с технической и юридической точки зрения, неправомерного доступа при этом не было. Т.е. закон применяют кто как может. Следователь не понимает, кому принадлежат ваши аккаунты в соцсетях, а судья вообще может мегабайты умножать на рубли и что-то там себе выводить.

Т.е. в случае с защитой правоохранительными органами ваших учётных записей результат вообще будет рандомным. Информационной безопасности простых людей не учат вообще нигде, а эти информационные технологии всё глубже и глубже проникают в нас.

© я

<
Zombir

24 сентября 2015 15:26

Информация к комментарию
  • Группа: Ксеноморф
  • Регистрация: 16.01.2008
  • Статус: Пользователь offline
  • Публикаций: 3
  • Комментариев: 415
Все что касается отдельного телефона для данных целей, это перебор.
В целом, не задумывался над данным вопросом, теперь задумался!
Информация
Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.