Сочетание методов верификации и аутентификации через почту и SMS: добавит ли безопасности и нельзя ли проще?
Немного о запрете авторизации через иностранные сервисы
Принятый закон принуждает владельцев российских сайтов, сервисов и программ отключить доступ для иностранных SSO и мессенджеров, в результате чего зарегистрироваться или даже войти в свой профиль через них будет невозможно.
Часть ресурсов уже приступила к исполнению и отключила вход через зарубежные сервисы, но поскольку конкретного наказания на дату выхода закона — 1 декабря 2023 года — предусмотрено не было, пользователи еще могут войти в свои личные кабинеты, чтобы добавить телефоны и почты для последующей аутентификации.
Какие сервисы использовать можно:
Мобильные телефоны — SMS и звонки. Операторов закон не ограничивает, они могут быть и иностранными (т. к. процесс авторизации в данном случае берет на себя сервер, а не сервис).
Электронная почта. Она также может быть расположена на иностранном почтовом сервере, исходя из методики авторизации.
ЕСИА Госуслуг и Единой Биометрической Системы — правительственных сервисов.
Через российские сервисы, такие как SSO Yandex ID и VK ID.
Вообще, верификация через любой сервис вроде мессенджера имеет свою проблематику, связанную с «мутными» протоколами безопасности. В случае SMS и электронной почты процесс кажется более прозрачным.
Сочетание email и SMS для аутентификации: есть ли смысл?
Наверное, самый распространенный метод двухфакторной аутентификации — отправка одноразового кода подтверждения. Чаще всего его высылают в SMS-сообщении на указанный номер телефона. Можно реализовать тот же способ через электронную почту.
Если пароль или данные для входа были утеряны, то наличие под рукой телефона или доступа к email позволит показать системе, что перед ней именно тот пользователь, который зарегистрировал аккаунт. Злоумышленнику же для входа предстоит как узнать нужные данные, так и получить доступ к телефону/электронной почте жертвы, что гораздо сложнее.
Получается, что сочетание двух методов дает усиление защиты вдвое. Так это или нет, предстоит разобраться.
Взлом email — дело достаточно частое. При использовании электронной почты также важно иметь иной пароль, чем был указан при регистрации в своем аккаунте: любой вор, особенно электронный, попытается применить пароль ко всем известным учетным записям пользователя.
Да, если сочетать аутентификацию по SMS и email, можно добавить лишний шаг для потенциальной кражи данных. Но удобно ли это?
В случае недоставки SMS или отсутствия интернета работа второго метода будет бессмысленна.
Для пользователей мобильных придется открывать почтовый клиент и искать нужное письмо, в это время может истечь срок действия SMS-сообщения.
В некоторых случаях почтовые серверы просто отказываются принимать письма с определенных ресурсов, особенно в условиях различной географии.
Проще говоря, такое усиление безопасности не дает гарантии, что у пользователя будет возможность им вообще воспользоваться. Такие случаи редки, но тем не менее от них никто не застрахован.
Со стороны бизнеса использование SMS-аутентификации является сейчас одним из самых дорогих способов, и в свое время многие перешли на аутентификацию по звонку (Call Password или Flash Call), мессенджеру или SSO по этой причине. Стоит ли возвращаться?
Альтернативы двухфакторной аутентификации
Пока что доверие к ЕБС находится на достаточно низком уровне. По данным на конец 2020, лишь 50% россиян готовы передавать свои данные таким системам. Что касается SSO, то здесь необходимо четкое понимание принципа действия протоколов безопасности, заложенных в средства авторизации.
В этом плане SMS и электронная почта, конечно, проще для понимания и принятия. Но можно ли сделать процесс дешевле для бизнеса, если он таковую авторизацию использует?
В свое время метод Call Password — авторизация через звонок клиенту, после которого он отправляет в систему последние цифры номера или услышанный код — стал более дешевой альтернативой SMS и быстрой альтернативой email. У метода есть продолжение, которое получило название Call Password ID. Изменился процесс взаимодействия пользователя с системой, при этом устранен лишний шаг — запоминание и отправка кодов.
Пользователю выдается номер телефона для звонка, который для него бесплатен. В течение определенного периода времени клиент звонит на указанный номер (звонок на данный номер осуществляется по кликабельной кнопке или через QR-код) и сразу же попадает в систему.
Стоимость такого соединения на за одного пользователя в четыре раза дешевле, при этом тарифицируются только успешные верификации, а не просто запрос на них. При этом исключена потеря клиента — SMS или email могут не дойти или быть проигнорированными, но если пользователь уже сам совершил звонок, то однозначно аутентифицируется на сайте или в программе.
И если раньше недоверие к методике CallPassword ID было связано с возможностью подмены номера, то с 1 марта 2024 года государственная ИС «Антифрод» решила эту проблему окончательно.
Добавлять лишние шаги для злоумышленников и одновременно пользователей, или упрощать верификацию за счет мотивации клиентов совершать бесплатные звонки? Каждый выбирает сам, но альтернативные современные методы безопасной авторизации все чаще приходят на замену более дорогим и неустойчивым аналогам.
