Исследователи в области безопасности предупреждают, что миллионы пользователей смартфонов могут подвергаться риску из-за авторизации по SMS, поскольку слабая аутентификация позволяет злоумышленникам использовать уязвимости в виде долгоживущих URL-адресов, которые легко угадать или перехватить.
н
Читатели узнают, на что следует обращать внимание, в том числе на небезопасные ссылки для входа в систему, признаки взлома и способы перехвата сообщений, если код подтверждения отправляется по SMS.
н
Мы описываем практические шаги, которые пользователи могут предпринять для своей защиты, такие как включение многофакторной аутентификации, использование официальных приложений для входа в систему и избегание взаимодействия с нежелательными URL-адресами.
н
Мы обсуждаем, почему использование кратковременных токенов и тесная привязка контекста аутентификации к URL-адресу входа в систему могут значительно снизить риски.
н
Поставщикам услуг следует внедрить строгие правила, такие как ротация секретных ключей, обязательные проверки подлинности и предоставление явных предупреждений перед отправкой ссылок для входа в систему по SMS.
н
Конечным пользователям следует проявлять бдительность в отношении неожиданных SMS-сообщений, избегать перехода по ссылкам, полученным в нежелательных сообщениях, и использовать доверенные приложения или браузеры для завершения входа в систему, а не встроенные ссылки.
н
Цель состоит в том, чтобы повысить осведомленность, предоставить четкие рекомендации по передовой практике и помочь организациям внедрить более безопасные процессы входа в систему, которые защищают данные пользователей, не создавая при этом препятствий.