Насколько безопасна сегодня авторизация через мессенджеры?
Мессенджер как средство авторизации: подоплеки проблемы
Около 9 лет назад «Лаборатория Касперского» провела опрос, в результате которого выяснилось настороженное отношение пользователей к мессенджерам. 62% респондентов не считали сервисы безопасными. Сегодня ситуация в корне изменилась, и большинство прибегает к услугам мессенджеров для создания профилей на сайтах.
Удобство такой авторизации сложно переоценить:
Не требуется создавать и запоминать пароли.
Можно авторизоваться на разных сайтах с помощью одного инструмента.
После создания личного кабинета доступ к нему осуществляется так же быстро с любого устройства с установленным мессенджером.
С момента опроса в 2015 году внимание к безопасности процесса только усиливалось. Перехват сообщений злоумышленниками — основная проблема, вставшая перед инженерами связи. После обнародования материалов Эдварда Сноудена правительства всего мира задумались о тотальной конфиденциальности переписок в мессенджерах. Этот же момент касался и других процессов передачи данных, включая авторизацию.
В результате некоторые сервисы перешли на созданный специально для этого протокол Signal. Цели — конфиденциальность сообщений, верная аутентификация источника данных и контроль целостности сообщений. Однако в приоритете у правительственных структур был скорее момент связи конкретных сообщений с конкретными людьми, что не позволило на 100% достигнуть решения вопросов безопасности самих сообщений.
В итоге проблемы безопасности мессенджеров до сих пор имеют место быть:
Невозможно быть уверенным в том, что сервис на устройстве реализует действительно безопасные протоколы для соединения.
Реализация протоколов безопасности достоверно не изучена. Пользователи по сей день вынуждены доверять разработчикам, поскольку в открытом доступе отсутствуют спецификации, используемые в протоколах.
Неизвестно, соответствует ли реализация протокола безопасности его описанию. Разработчики мессенджеров не раскрывают спецификации, и даже наличие того или иного протокола в сервисе проверить не представляется возможным. Даже если на стороне клиента реализация корректна, то нет гарантии, что на стороне авторизатора этот процесс также идеален.
Вряд ли мы можем доверять тому, что плохо изучено или не имеет стопроцентных гарантий безопасности. А поскольку большинство действующих на рынке мессенджеров так или иначе принадлежит иностранным компаниям, вопрос доверия встает еще активнее.
Закон о запрете авторизации через иностранные сервисы
Закон о запрете регистрации и авторизации на отечественных сайтах через иностранные сервисы в России вступил в силу с 1 декабря 2023 года. Поначалу акцент в обсуждении законопроекта сместился на использование зарубежных почтовых сервисов: был пущен слух о запрете иностранной электронной почты для авторизации. Впоследствии было дано официальное заявление о том, что закон почты не касается, а относится напрямую к таким сервисам как мессенджеры и SSO — Apple ID, Google ID и др.
Ответственность за нарушение закона клиентом не предусматривается, однако владельцы веб-ресурсов обязаны отключить возможность авторизации, в результате некоторые крупные представители уже лишили пользователей такой возможности: например, Ozon отключил Apple ID. Кстати, с 1 марта 2023 российским банкам запрещено передавать любые сообщения через иностранные мессенджеры.
Как же теперь авторизоваться?
По номеру мобильного телефона. В законе не указывается, что оператор должен быть отечественным.
Через ЕСИА (Госуслуги).
Через единую государственную биометрическую систему, в которой хранятся образцы лиц и голоса россиян для авторизации;.
Через информационные системы, принадлежащие гражданину России с одним гражданством, или российскому юрлицу.
Мессенджеры подпадают под четвертый пункт, однако в российском сегменте ходовых сервисов пока нет. Так что у пользователя остаются такие варианты SSO — VK ID и Yandex ID.
Зарубежные сайты и ресурсы с выходом в рунет не обязаны закрывать авторизацию через иностранные мессенджеры, однако для них характерны проблемы доверия, указанные нами в предыдущем разделе статьи. Более того, с учетом политической ситуации гарантия безопасности данных россиян в иностранных мессенджерах встает еще более остро.
В случае авторизации через мессенджеры и SSO обеспечение этого процесса относится к сервису, а не ресурсу, на котором мы зарегистрированы. В случае же входа по электронной почте, ресурс сам является системой, обеспечивающей авторизацию, поэтому иностранные email закон в этом плане не запрещает.
Закон не регламентирует сохранение учетной записи пользователя, если ранее он авторизовался через иностранный мессенджер, а сайт убрал такую возможность. Поэтому всем, кому грозит такое развитие событий, рекомендуется добавить в профиль телефонный номер или электронную почту для входа.
Авторизация через мессенджеры в 2024: есть ли альтернативы?
Закон, о котором идет речь, часто воспринимается только как угроза для учетных записей пользователей на российских сайтах. Другая сторона проблемы состоит в том, что идентификация через иностранные мессенджеры свойственна и клиентам компаний, подключенным к CRM, программам лояльности и другим системам.
Здесь авторизация также происходит через иностранный сервис, и согласно закону от нее придется отказаться. Так что если вы получали/отправляли промокоды, пароли и другие сообщения на WhatsApp или Telegram, то необходимо будет продумать альтернативные способы взаимодействия.
Конечно, мало кому захочется возвращаться к отправке SMS или прямых звонков клиенту, т. к. это значительно дороже. Пользователям же сложно будет вернуться к электронной почте для авторизации, все же число шагов для достижения цели здесь больше, чем при использовании мессенджера.
Поэтому на помощь могут прийти такие методы как CallPassword ID — для каждого клиента генерируется номер телефона для звонка, а затем по этому звонку происходит аутентификация. Звонок полностью бесплатен, для использования метода нет необходимости устанавливать какой-либо сервис. Популярность метода в последние годы активно растет, ведь он значительно дешевле аналогов, но также прост и прозрачен.
Так что в условиях запрета на иностранные мессенджеры и при отсутствии отечественных решений CallPassword ID может стать качественной альтернативой привычным методикам авторизации.
