Банки постепенно отказываются от практики запроса SMS-кодов для подтверждения личности клиентов при обращении в службу поддержки, но некоторые все еще используют этот метод. Проблема не только в уязвимости SMS-кодов к перехвату, но и в формировании у пользователей опасного паттерна поведения, который используют мошенники.
Многофакторная аутентификация, где SMS-код является лишь одним из факторов, была заменена практикой, где он фактически стал единственным фактором. Это делает банковские счета уязвимыми. Появление биометрии, как второго фактора, также вызывает вопросы о ее долговечности и надежности. Важным моментом является и то, что второй фактор должен подтверждать знание, а не владение.
Банковские системы авторизации часто не соответствуют современным стандартам безопасности, таким как OAuth 2.0. Это связано со сложностью и дороговизной перехода на более безопасные системы авторизации. Внедрение Client-Initiated Backchannel Authentication Flow (CIBA), который является частью OAuth 2.0, могло бы решить проблему, но многие банки используют устаревшие самописные системы.
Вместо запроса кодов из SMS или push-уведомлений, которые пользователи могут раскрыть мошенникам, банки должны использовать альтернативные методы аутентификации. Например, идентификация через специальное банковское приложение или ввод секретного кода в тоновом режиме. Необходимо разрабатывать универсальные решения для авторизации, учитывая, что не у всех клиентов есть современные смартфоны и установленные приложения.
Изображение носит иллюстративный характер
Многофакторная аутентификация, где SMS-код является лишь одним из факторов, была заменена практикой, где он фактически стал единственным фактором. Это делает банковские счета уязвимыми. Появление биометрии, как второго фактора, также вызывает вопросы о ее долговечности и надежности. Важным моментом является и то, что второй фактор должен подтверждать знание, а не владение.
Банковские системы авторизации часто не соответствуют современным стандартам безопасности, таким как OAuth 2.0. Это связано со сложностью и дороговизной перехода на более безопасные системы авторизации. Внедрение Client-Initiated Backchannel Authentication Flow (CIBA), который является частью OAuth 2.0, могло бы решить проблему, но многие банки используют устаревшие самописные системы.
Вместо запроса кодов из SMS или push-уведомлений, которые пользователи могут раскрыть мошенникам, банки должны использовать альтернативные методы аутентификации. Например, идентификация через специальное банковское приложение или ввод секретного кода в тоновом режиме. Необходимо разрабатывать универсальные решения для авторизации, учитывая, что не у всех клиентов есть современные смартфоны и установленные приложения.
