| 16 ноября 2018 г. — 5:23 PT
Крупная утечка данных, о которой сообщила TechCrunch, подчеркнула обоснованность подхода Apple к двухфакторной аутентификации (2FA).
Сбой в системе безопасности раскрыл массивную базу данных, содержащую десятки миллионов текстовых сообщений, включая ссылки для сброса паролей, коды двухфакторной аутентификации, уведомления о доставке и многое другое.
Сервер, который был раскрыт, принадлежит Voxox (ранее Telcentris), калифорнийской коммуникационной компании. Сервер не был защищен паролем, что позволяло любому, кто знал, где искать, просматривать и отслеживать поток текстовых сообщений почти в режиме реального времени…
TechCrunch сообщила, что истинные масштабы взлома пока не известны.
После запроса TechCrunch Voxox отключила базу данных. На момент закрытия база данных содержала чуть более 26 миллионов текстовых сообщений за текущий год. Но огромный объем сообщений, обрабатываемых платформой в минуту — как видно через визуальный интерфейс базы данных — предполагает, что эта цифра может быть выше.
«Поверхностный анализ» раскрытых данных обнаружил коды 2FA от booking.com, Google и как минимум двух финансовых сервисов.
Проблема с 2FA-кодами, отправляемыми по SMS
Для тех, кто не знаком с концепцией, двухфакторная аутентификация предназначена для повышения безопасности онлайн-сервисов, требуя две единицы безопасной информации, а не только одну — пароль.
Во многих реализациях вы регистрируете свой мобильный номер в сервисе, и они отправляют вам одноразовый код по SMS, который нужно ввести вместе с вашим паролем.
Проблема в том, что SMS не является особо безопасным протоколом. Существует ряд известных уязвимостей в сети SS7, на которой основана передача текстовых сообщений. Текстовые сообщения часто отправляются в открытом виде (операторы могут использовать шифрование, но часто этого не делают). SMS — это система «храни и пересылай», что означает, что сообщение хранится в системах на нескольких этапах своего пути. И, как мы увидели в данном случае, для передачи кодов 2FA часто используются сторонние компании, поэтому вы полностью зависите от стандартов безопасности этих фирм.
Именно эти слабости заставляют Национальный институт стандартов и технологий США — который устанавливает стандарты для программного обеспечения аутентификации — запретить использование 2FA на основе SMS.
Подход Apple
Apple предлагает возможность отправки кодов по SMS — потому что у некоторых пользователей может быть только одно устройство Apple. Текстовые коды 2FA лучше, чем ничего.
Но основной подход Apple заключается в использовании концепции доверенных устройств. Когда вы связываете свой Apple ID с устройством и — что важно — использовали 2FA для входа в это устройство, Apple считает его «доверенным». Это означает, что шестизначные коды 2FA отображаются на нем всякий раз, когда другое устройство запрашивает их.
Подход Apple превосходит по ряду причин. Поскольку используемая система специфична для Apple, компания полностью контролирует протоколы безопасности. Коды отправляются на устройства в зашифрованном виде, и Apple использует уникальный ключ для каждого доверенного устройства.
Этот уникальный ключ также означает, что пользователи могут удалить устройство из своего списка доверенных устройств в любое время. После удаления оно больше не будет авторизовано для получения кодов 2FA. По этой причине подход Apple лучше, чем приложения-аутентификаторы, которые используют общий ключ.
Система 2FA Apple на основе устройств также более дружелюбна к пользователям. В отличие от текстовых сообщений, она не требует наличия мобильного интернета — достаточно Wi-Fi. И каждый раз, когда я ею пользовался, код push-уведомления приходил мгновенно, в отличие от текстовых сообщений, которые могут задерживаться на минуты, часы или даже вовсе не приходить.
Если вы еще не используете 2FA для защиты своего Apple ID, мы настоятельно рекомендуем это сделать. Ознакомьтесь с нашим руководством и документом поддержки Apple для получения инструкций.
Фото: PCWorld
Смотрите 9to5Mac на YouTube для получения большего количества новостей об Apple: