SMS-коды больше не защищают: эксперт назвал альтернативу для бизнеса OTP авторизация через SMS – это процесс, при котором пользователь получает одноразовый код на свой мобильный телефон для подтверждения личности. Она используется многими компаниями – от банков до маркетплейсов. Эта функция позволяет значительно снизить риск кражи аккаунтов, ведь даже если кто-то получит доступ к вашему постоянному паролю, он не сможет осуществить авторизацию без OTP. Такой подход также называют A2P - Application-to-Peer авторизацией. Сегодня SMS-коды остаются наиболее распространенным методом авторизации, но вместе с этим становятся все более проблемными.
Finance.ua рассказал Андрей Коновальский, основатель компании LoopMessage, который в прошлом также имел опыт работы в
monobank, e-commerce проектах «Аптека24» и аптека «Путешественник».С его слов, среди преимуществ авторизации с помощью SMS: универсальность (большинство людей в мире имеют мобильные телефоны) и независимость от интернета (чтобы получить SMS, не нужно быть подключенным к сети).Вместе с тем мошенники всё чаще генерируют фейковые номера. в бизнесе. Особенно это актуально для международных компаний, где расходы на сообщения могут значительно возрасти.
Twitter/X сообщал о более $60 млн ежегодных потерь из-за мошенничества с SMS-трафиком;● Согласно данным мессенджера
Signal, в 2023 году они тратили 14 миллионов долларов в год. В случае
Telegram, в 2021 были опубликованы данные, что 25% всех расходов также приходится на OTP авторизацию. Эксперты по кибербезопасности отмечают, что SMS уязвимы к SIM-swap атакам, перехватам и задержкам в роуминге. А также возможного перехвата кода вследствие социального инжиниринга, когда человеку посылают код на телефон и пытаются заставить получателя поделиться этим кодом со злоумышленниками. Операторы или SMS агрегаторы часто хранят данные о получателях и могут делиться или продавать их посторонним компаниям. Например в 2024 году три крупнейших мобильных оператора. Ред.) были оштрафованы на $200 млн за то, что позволяли собирать данные о геолокации пользователей сторонним компаниям. «То, что еще несколько лет назад было стандартом безопасности, сегодня превратилось в головную боль для бизнеса. SMS-OTP стали слишком дорогими и уязвимыми», — говорит Коновальский. В последние годы ведущие игроки пытались найти баланс между удобством и безопасностью. Среди подходов: ● ограничение SMS авторизации (Twitter оставил эту опцию только для платных аккаунтов); ● переход на приложения-аутентификаторы (Google Authenticator, Microsoft Authenticator); ● введение Passkeys от Apple, Google и Microsoft; ● использование альтернативных каналов — email, flash-call, мессенджеры; ● технические решали проблему только частично. Они либо сокращали количество SMS, либо усложняли жизнь пользователю. Вместе с тем не меняли экономику процесса. Коновальский отмечает, что интересной альтернативой выглядит P2A (peer-to-application)-авторизация. P2A работает наоборот. Сервер генерирует короткий код и специальную ссылку (например, imessage:// или whatsapp://). Такой вид ссылки еще называют deep link. Пользователь открывает его или приложение автоматически перенаправляет пользователя – и в мессенджере автоматически формируется готовое сообщение с кодом. Ему остается нажать «Отправить». В этой модели код не посылается пользователю, а формируется в сервисе, после чего пользователь сам отправляет подтверждение назад через мессенджер (WhatsApp,
Viber, iMessage и т.д.) Подобная реализация требует сделать некоторые изменения на стороне приложения или веб-сайта. В мобильном приложении это можно будет интегрировать, просто применяя пользовательский редирект по специально сгенерированной ссылке. В случае с desktop-оборудованием пока решением будет генерирование QR-кода, который можно будет отсканировать и он сразу перенесет вас на сгенерированный URL. Если это macOS, можно сразу использовать deeplink. Если у пользователя установлен нужный мессенджер в качестве приложения, то он также откроется и можно будет отправить сообщение. Андрей Коновальский говорит, что при исследовании этого метода сразу выделились интересные результаты: ● простой UX. Пользователь только нажимает на ссылку и отправляет готовое сообщение. Нет необходимости в запросе номера телефона; ● метод не позволяет злоумышленникам генерировать убытки, вызывая фейковые запросы. Фактически пользователю следует сделать шаг отправки сообщения. Это потребует значительных ресурсов от злоумышленников (нужно поддерживать большую «ферму» устройств, которыми будут отправлять фейковые сообщения); ● невозможно собирать персональные данные. Все потому, что почти все мессенджеры используют шифрование; ● отсутствие зависимости от роуминга. Поскольку авторизация полностью работает через Интернет и не требует покрытия оператора. Если пользователь инициирует авторизацию с мобильного устройства, то, скорее всего, у устройства точно есть подключение к интернету; ● метод уменьшает затраты более чем на 90% по сравнению с классическими SMS. Модель оплаты в мессенджерах часто выгоднее SMS. Например, у официального WhatsApp Cloud API входящие сообщения с 2024 года бесплатны. «P2A фактически переворачивает логику кибербезопасности. Бизнес не платит за каждую SMS, мошенники не могут накручивать фейковые запросы, а пользователи получают простое и безопасное взаимодействие», — утверждает Коновальский. Виталий Сурмажурналист
