Новости
Все частіше фахівці з комп'ютерної безпеки в своєму протистоянні з хакерами намагаються спрацювати на випередження: змоделювати і передбачити ймовірні "діри", які може мати система захисту даних того чи іншого сервісу або операційної системи. Останнім часом особлива увага приділяється мобільним ОС, так як саме зі смартфонів все більше число користувачів заходить в свої акаунти. Смартфони також часто використовуються як засіб аутентифікації. Найчастіше користувачі отримують одноразові паролі по SMS. Іноді одноразові паролі (one time passwords) також можуть доставлятися за допомогою голосових повідомлень, або ж генеруватися за допомогою спеціального додатку - генератора OTP. Але в цій статті буде розглянуто саме найбільш популярний спосіб доставки одноразових паролів - SMS аутентифікація.
Двухфакторная аутентифікація на основі одноразових паролів, одержуваних по SMS, не завжди здатна забезпечити належний рівень надійності. Одна з причин в тому, що телефонні мережі використовують відкриті, незашифровані канали зв'язку, де хоч якогось захисту даних практично неможлива. Для людини, що має необхідні технічні знання і обладнання, підключитися до такої мережі не складе труднощів. Але як виявили вчені Амстердамського вільного університету, навіть це не обов'язково. Дослідники виявили ще одну критичну уразливість, яку має SMS аутентифікація.
Де ховається проблема
Зазвичай для того, щоб сувора аутентифікація могла проводитися хакерами від імені користувача, потрібна наявність на комп'ютері жертви троянської програми і знання зловмисниками багаторазового пароля, службовця першим фактором для 2FA. Голландські дослідники встановили, як можна перехопити SMS з одноразовим паролем на мобільних пристроях на базі операційних систем Android і iOS. Розташовувати постійним паролем для входу в обліковий запис при цьому не потрібно.
Джерело неприємностей криється в можливості синхронізації смартфона і комп'ютера, яку надають користувачам компанії Apple і Google. Функція ця придумана для зручності, але від неї може постраждати захист даних користувача. Причому, якщо раніше найбільш вразливою вважалася операційна система Android, то дане дослідження показало, що хвалену iOS ще легше зламати.
В обох випадках для обходу двофакторної аутентифікації потрібно лише наявність на комп'ютері у жертви троянської програми. Помістити її туди зазвичай нескладно: був уже не один прецедент, коли шпигунські зловредів проникали під виглядом корисних програм навіть в офіційні магазини додатків. Та й фішинг, який, незважаючи на численні попередження раз у раз спрацьовує, теж ніхто не відміняв.
Далі події розвиваються по різному, залежно від того, на якій операційній системі працює смартфон - Android або iOS.
У випадку з Android, наявний на комп'ютері троянський вірус під виглядом власника аккаунта просить завантажити на смартфон, підключений до облікового запису, шпигунське додаток. Коли шкідлива програма встановлена, вона ніяк себе не проявляє і чекає приходу SMS з тимчасовим паролем. Далі залишається переправити код доступу на сервер шахраїв до того, як справжній господар аккаунта введе ОТР.
"Робота" з OS X і iOS для трояна ще простіше. Справа в тому, що в останні версії цих операційних систем включена функція читання SMS, що приходять на iPhone, прямо з комп'ютера. Всі повідомлення, що поступають розташовуються в окремому файлі на жорсткому диску комп'ютера. Вірусу досить тільки моніторити його вміст в очікуванні "години ікс". 
можливе рішення
Якщо двухфакторная аутентифікація (two-factor authentication) в своєму класичному вигляді (із застосуванням SMS) може бути скомпрометована, що ж дозволить уникнути загрози?
На даний момент найочевиднішим рішенням представляється апаратний ОТР токен (token). Саме цей пристрій здатний забезпечити належний рівень захищеності при дворівневої аутентифікації.
З усіх видів токенов , Апаратні токени найбільш безпечні. Такий генератор одноразових паролів працює без доступу до інтернету або мережі GSM. До того ж, сучасні апаратні токени можуть бути додатково захищені PIN-кодом.
Якщо говорити про зручність використання токенів, то провайдери двофакторної аутентифікації - такі, як компанія Protectimus - роблять все для того, щоб воно було максимальним. Зазвичай маркери невеликі за розміром і служать без заміни батареї до 5 років. Апаратні токени можуть бути виготовлені у вигляді брелока (наприклад, такі як Protectimus Ultra і One) або кредитної карти (Protectimus Slim і Protectimus Slim Mini). До речі, новий токен смарт-карта Protectimus Slim Mini не тільки вдвічі менше стандартної кредитки, але і підтримує технологію NFC, перепрошивати, і дозволяє змінювати час життя одноразового пароля, що також сприяє збільшенню безпеки при його використанні.
У світі придумані різні способи аутентифікації. Але практика показує, що саме генерація одноразових паролів за допомогою апаратних токенів в стані найкращим чином компенсувати наявні уразливості в процесі підтвердження легітимності користувача.