2FA боты в мессенджерах vs SMS аутентификация

Опубликовано Окт 22, 2019 | нет комментариев

В этой статье мы расскажем как работают 2FA боты (двухфакторная аутентификация через чат-ботов в мессенджерах), рассмотрим плюсы и минусы этого способа доставки одноразовых паролей, и разберемся что лучше — боты или SMS.

Содержание:

Как появились 2FA боты — OTP токен Protectimus Bot

Однажды один из клиентов Protectimus (платежная система с 2 000 000 активных пользователей) поставил задачу — разработать способ доставки одноразовых паролей, который будет таким же удобным, как SMS аутентификация, но более безопасным и дешевым. Дело в том, что каждый месяц этот клиент тратил около $30 000 на оплату услуг SMS-провайдера и хотел снизить расходы. Через SMS доставлялись одноразовые пароли и системные уведомления (нотификации о поступлении или снятии средств со счета, информационные сообщения и т.п.).

Решением задачи стала двухфакторная аутентификация с помощью чат-ботов в мессенджерах. Через чат-ботов Protectimus Bot в Telegram, Viber или Facebook Messenger можно бесплатно доставлять как одноразовые пароли, так и любые уведомления. И теперь наш клиент экономит на SMS около $20 000 ежемесячно.

2FA боты в мессенджерах решают большинство проблем, присущих SMS аутентификации: во-первых, это более безопасно, а во-вторых, БЕСПЛАТНО! Кроме того, использовать чат-боты почти так же удобно как SMS, а ведь SMS аутентификацию только за удобство и ценят.

Узнайте больше о Protectimus Bot

Как работает двухфакторная аутентификация через чат-ботов

На данный момент 2FA боты ProtectimusBot доступны в трех мессенджерах:

Как правило, у человека, который пользуется смартфоном, уже установлен хоть один из этих мессенджеров.

Когда пользователь подключает двухфакторную аутентификацию, он:

  1. Выбирает любой из указанных мессенджеров, находит там Protectimus Bot.
  2. Запрашивает свой уникальный ID с помощью команды /getid.
  3. Вводит полученный ID в системе, которую планирует защитить.
  4. Дальше сервис двухфакторной аутентификации Protectimus создает токен и отправляет пользователю одноразовый пароль через чат-бота.
  5. Пользователь подтверждает, что получил одноразовый пароль, введя его в соответствующую форму, чем и завершается процесс выпуска токена.

Дальше все одноразовые пароли и сервисные сообщения будут приходить через чат-бота. Как для конечного пользователя, так и для нашего клиента двухфакторная аутентификация с помощью 2FA ботов бесплатна.

Пример того, как происходит выпуск токена Protectimus Bot, продемонстрирован в видео ниже.

Коснемся технической части. Программный токен в виде чат-бота поддерживает любой алгоритм двухфакторной аутентификации — HOTP, TOTP и OCRA. Благодаря этому, 2FA боты ProtectimusBot поддерживают и функцию подписи данных CWYS (Confirm What You See). Подпись данных подразумевает генерацию одноразовых паролей на основе данных об операции пользователя, например, могут использоваться данные транзакции: сумма, валюта, получатель, время и т.п. Это незаменимая функция для платежных систем и банков. Таким OTP паролем невозможно подписать нелегальную транзакцию даже если злоумышленник перехватит его. На данный момент только четыре токена Protectimus поддерживают функцию CWYS: приложение Protectimus Smart, а также Protectimus Mail, Protectimus SMS и чат-боты.

| Читайте также: Информационная безопасность в FinTech: 10 инструментов для защиты платежной

Чат-боты для 2FA vs SMS аутентификация 

2FA боты — плюсы и минусы

Плюсы

  1. Чат-боты для двухфакторной аутентификации доступны бесплатно как для клиента, так и для конечного пользователя.
  2. Через 2FA бота Protectimus Bot можно доставлять как одноразовые пароли, так и другие сообщения и уведомления.
  3. Сообщения в мессенджерах передаются в зашифрованном виде, если кто-то и перехватит одноразовый пароль, то не успеет его расшифровать.
  4. Вход в мессенджер, который используется для доставки OTP, защищен паролем. Можно дополнительно защитить доступ к мессенджеру двухфакторной аутентификацией. 
  5. Если кто-то попытается войти в ваш аккаунт, вы моментально получите об этом уведомление. 
  6. Сообщения доставляются не по сети сотовой связи. Значит невозможно использовать уязвимости GSM сетей для перехвата одноразовых паролей.
  7. Пока мы не слышали о вирусах, которые могут вытянуть одноразовый пароль из мессенджера. В свою очередь, вирусов, которые вытягивают OTP из SMS-сообщений, достаточно.
  8. Токен Protectimus Bot будет работать вне зоны доступа сети, если есть интернет.
  9. Чтобы активировать токен, пользователю не нужно устанавливать дополнительное приложение или покупать аппаратный токен, в 99% случаев один из мессенджеров уже установлен на телефоне пользователя.
  10. Чат-бота для двухфакторной аутентификации можно использовать даже если в текущий момент у вас нет доступа к телефону, существуют web-версии Telegram, Viber и Facebook Messenger.

Минусы

  1. Для работы мессенджера необходим доступ в интернет. Но сегодня у вас скорее возникнут проблемы с сотовым покрытием, чем с интернетом. Технологии 3G / 4G / 5G доступны везде, где есть мобильная связь, а там, где нет доступа к сети, можно найти Wi-Fi или проводной интернет.
  2. В учетную запись в мессенджере можно войти с нескольких разных устройств, а потом забыть выйти, оставив несколько активных сессий. Например, когда я пишу эту статью, у меня активны три сессии в Telegram: на смартфоне, на рабочем компьютере и на домашнем ноутбуке.
  3. Для выпуска токена пользователь должен сам добавить чат-бота ProtectimusBot.
Плюсы токена Protectimus BotМинусы токена Protectimus Bot
Токен доступен бесплатно.Нужен доступ в интернет.
Сообщения передаются в зашифрованном виде.Пользователь должен сам активировать чат-бота ProtectimusBot.
Доступ к мессенджеру защищен паролем, дополнительно можно подключить 2FA.Есть риск оставить открытым доступ к мессенджеру на нескольких устройствах, пользователю нужно быть внимательным.
Пользователь получает нотификации о входе в аккаунт с нового устройства.
Проблемы с сотовой связью никак не влияют на работу и безопасность токена.
Вирусы, перехватывающие сообщения из мессенджеров, пока неизвестны.
Пользователь не должен устанавливать новое приложение или заказывать аппаратный токен.
К токену можно получить доступ не только со смартфона, а и с компьютера или планшета.
Поддержка функции подписи данных CWYS (Confirm What You See).
Возможность доставлять как одноразовые пароли, так и любые другие сообщения.

| Читайте также: Эволюция средств двухфакторной аутентификации

SMS аутентификация — плюсы и минусы

Плюсы

  1. Если коротко, то у двухфакторной аутентификации с помощью SMS сообщений есть один глобальный плюс — удобство. Чтобы пользователь начал получать одноразовые пароли, не нужно просить его прийти в ваш офис, оставить адрес для доставки токена, установить приложение. Как только вы получили номер телефона человека, уже можно отправлять ему OTP. Часто этого одного преимущества достаточно, чтобы клиент выбрал именно двухфакторную аутентификацию с помощью SMS. Компании легко жертвуют безопасностью во имя удобства.
  2. SMS-аутентификация подходит владельцам кнопочных телефонов, которые просто не могут установить приложение на свой телефон.
  3. Как и 2FA боты Protectimus Bot, токены Protectimus SMS поддерживают функцию подписи данных CWYS (Confirm What You See).

Минусы

В остальном — сплошные минусы:

  1. SMS-сообщения можно перехватить при доставке по сети сотовой связи.
  2. Временный пароль можно перехватить прямо с устройства пользователя с помощью вируса.
  3. Злоумышленники заказывают перевыпуск SIM-карты и таким образом получают доступ к номеру жертвы.
  4. Часто в таких преступных схемах могут быть замешаны сотрудники SMS-оператора.
  5. Если абонент находится вне зоны действия сети, то он не получит OTP пароль.
  6. Компании тратят сотни тысяч долларов на оплату услуг SMS-операторов.
Плюсы SMS-аутентификацииМинусы SMS-аутентификации
Выпуск токена возможен без активного участия пользователя.Огромные расходы.
Не нужен смартфон, достаточно кнопочного телефона.Уязвимость сетей мобильной связи.
Поддержка функции подписи данных CWYS (Confirm What You See).Возможность перехвата OTP с помощью вируса на смартфоне.

Возможность подмены SIM-карты.

Возможность манипуляций с SIM-картой со стороны нечестных сотрудников мобильного оператора.

Если нет связи или вы в роуминге, возникают проблемы с доставкой SMS.

| Читайте также: Что скрывает SMS-аутентификация?

Подводим итог: 3 причины отказаться от SMS аутентификации в пользу чат-ботов для MFA

У любого способа двухфакторной аутентификации есть свои сильные и слабые стороны. Но сравнив SMS-аутентификацию и доставку одноразовых паролей с помощью чат-ботов в мессенджерах, мы четко видим, что токены Protectimus Bot побеждают по всем фронтам:

  1. Экономическая эффективность. Использовать двухфакторную аутентификацию с помощью 2FA ботов выгодно с финансовой точки зрения.
  2. Безопасность. Мультифакторная аутентификация через чат-ботов в Telegram, Viber, Facebook Messenger во много раз безопасней.
  3. Удобство. По удобству 2FA боты не уступают SMS-аутентификации, а в некоторых случаях превосходит ее (например, в роуминге).

Переходите на мессенджеры и экономьте, при этом уровень безопасности только вырастет. По всем вопросам обращайтесь к нам по адресу [email protected]

Характеристики

Protectimus Bot

Protectimus SMS

Причина 1. Экономическая эффективность

Бесплатная доставка одноразовых паролейДаНет
Бесплатная доставка уведомленийДаНет

Причина 2. Безопасность

Сообщения передаются в зашифрованном видеДаНет
Дополнительная защита паролем или даже 2FAДаНет
Риск перехвата OTP при доставке по сети сотовой связиНетДа
Риск компрометации токена после подмены SIM-картыНетДа
Риск перехвата OTP с помощью вирусаНет данныхДа
Риск манипуляций с SIM-картой со стороны нечестных сотрудников мобильного оператораНетДа
Поддержка функции подписи данных CWYS (Confirm What You See)ДаДа

Причина 3. Удобство

Для работы токена нужен интернетДаНет
Для работы токена нужно находиться в зоне действия сети сотовой связиНетДа
Выпуск токена возможен без активного участия пользователяНетДа, но пользователь должен оставить номер телефона
Не нужен смартфон, достаточно кнопочного телефонаМожно воспользоваться web-версией мессенджераДа

Читайте также:

Subscribe To Our Newsletter

Join our mailing list to receive the latest news and updates from our team.

You have Successfully Subscribed!

Author: Anna

Если у вас есть вопросы о двухфакторной аутентификации или продуктах Protectimus, задайте их Анне и вы получите экспертный ответ. Она знает всё об одноразовых паролях, OTP токенах, 2FA приложениях, OATH алгоритмах, о том, как работает двухфакторная аутентификация и от чего она защищает. Анна точно объяснит разницу между TOTP, HOTP и OCRA, поможет выбрать токен для Azure MFA, расскажет, как настроить двухфакторную аутентификацию в Windows или Active Directory. За годы работы в Protectimus Анна стала настоящим экспертом в кибербезопасности и разобралась во всех нюансах сервиса Protectimus, поэтому даст совет по любому вопросу, пишите в комментарии.

Share This Post On

Оставить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Подпишитесь на нашу рассылку!

Подпишитесь на нашу рассылку!

Подпишитесь на нашу рассылку и получайте последние новости из мира информационной безопасности от блога Protectimus.

Спасибо за подписку на нашу рассылку!

Share This