Ще кілька років тому підтвердження входу через SMS-код вважалося хорошим рівнем захисту для корпоративних акаунтів. Багато компаній впроваджували таку двофакторну автентифікацію для пошти, банкінгу чи внутрішніх сервісів і були впевнені, що цього цілком достатньо.

Сьогодні ситуація змінилася. SMS-коди досі залишаються кращим варіантом, ніж захист лише одним паролем, але сучасні кіберзагрози показали їхні слабкі сторони. Саме тому все більше компаній переходять на сучасні рішення MFA — багатофакторної автентифікації з використанням мобільних додатків, push-підтверджень або FIDO2 токенів.

Для бізнесу це вже не питання “просунутої безпеки”, а питання реального захисту корпоративної інфраструктури.

Чому SMS-автентифікація стала популярною

Причина популярності SMS-кодів була доволі простою. Для користувача це виглядало зрозуміло та знайомо:

• ввести пароль;
• отримати SMS;
• ввести короткий код підтвердження.

Для багатьох компаній це був перший крок від звичайних паролів до двофакторної автентифікації. І свого часу такий підхід справді суттєво зменшував кількість успішних зламів.

Але технології атак також розвивалися. Те, що раніше вважалося достатнім рівнем захисту, сьогодні дедалі частіше стає слабким місцем.

Основні проблеми SMS-кодів

SIM-swapping

Однією з найвідоміших проблем є так званий SIM-swapping — перевипуск SIM-картки на іншу особу.

У деяких випадках зловмисники через соціальну інженерію або компрометацію даних можуть отримати контроль над номером телефону користувача. Після цього SMS-коди починають приходити вже не власнику акаунта.

Для приватної людини це неприємно. Для бізнесу — це вже потенційний ризик компрометації корпоративної пошти, VPN або критичних сервісів.

Перехоплення SMS

SMS-повідомлення спочатку не створювалися як високозахищений канал передачі даних. У певних сценаріях їх можна перехопити або перенаправити.

Для більшості звичайних користувачів ризик виглядає абстрактним, але у випадку цілеспрямованих атак на бізнес такі сценарії давно перестали бути теорією.

Для платіжного сектору це питання має пряме регуляторне значення. Відповідно до статті 22(1) Делегованого регламенту ЄС 2018/389 (RTS щодо SCA в рамках PSD2), надавачі платіжних послуг зобов’язані забезпечувати конфіденційність та цілісність персоналізованих облікових даних безпеки — включно з кодами автентифікації — на всіх етапах автентифікації. Стаття 22(4) додатково вимагає, щоб обробка та маршрутизація таких даних відбувалися в захищеному середовищі відповідно до загальновизнаних галузевих стандартів. Аналогічні вимоги закріплені в українському законодавстві: Постанова НБУ №58 від 03.05.2023 “Про затвердження Положення про автентифікацію та застосування посиленої автентифікації на ринку платіжних послуг” встановлює аналогічні зобов’язання щодо захисту конфіденційності та цілісності вразливих платіжних даних. SMS-канал за своєю природою не відповідає цим вимогам.

Фішинг

Ще одна проблема полягає в тому, що користувач може сам передати SMS-код зловмиснику.

Сучасні фішингові сторінки дуже переконливо копіюють Microsoft 365, Google або інші сервіси. Працівник вводить пароль, а потім — код із SMS, навіть не підозрюючи, що обидва фактори щойно потрапили до рук атакувальника.

Саме тому SMS-коди сьогодні вже не вважаються достатнім захистом від сучасного фішингу.

Залежність від мобільного оператора

Ще один недолік SMS-аутентифікації — залежність від сторонньої інфраструктури.

Повідомлення можуть:

• приходити із затримкою;
• не доставлятися взагалі;
• зникати у роумінгу;
• створювати проблеми при зміні номера.

Для звичайного користувача це просто незручно. Для бізнесу це може означати блокування доступу до корпоративних систем у критичний момент.

Чому великі компанії переходять на MFA

Сьогодні більшість сучасних платформ уже рекомендують або навіть примусово впроваджують більш надійні механізми автентифікації.

Microsoft, Google, GitHub, GitLab та інші великі сервіси поступово зміщують акцент із SMS-кодів на:

• push-підтвердження;
• Authenticator-додатки;
• FIDO2 токени;
• біометричну автентифікацію;
• passwordless-рішення.

Причина проста: сучасна багатофакторна автентифікація значно краще захищає від фішингових атак і компрометації акаунтів.

Особливо це важливо для:

• корпоративної пошти;
• DevOps-інфраструктури;
• GitLab та GitHub;
• VPN;
• адміністративних акаунтів;
• хмарних сервісів.

Чим сучасна MFA краща за SMS-коди

Сучасна багатофакторна автентифікація (MFA) будується на більш безпечних механізмах підтвердження доступу.

Наприклад, одноразові коди в Authenticator-додатках не залежать від мобільного оператора та значно складніше піддаються перехопленню.

Push-підтвердження дозволяють користувачу бачити інформацію про спробу входу та швидко реагувати на підозрілу активність.

FIDO2 токени взагалі вважаються одним із найкращих сучасних захистів від фішингу. У цьому випадку користувач фізично підтверджує вхід через апаратний ключ, а сама автентифікація прив’язується до конкретного домену.

Це означає, що навіть дуже переконлива фішингова копія не зможе коректно використати такий токен.

Чи потрібно повністю відмовлятися від SMS

Не обов’язково.

Відповідь залежить від того, в якому секторі та для яких цілей використовується SMS-автентифікація. Тут важливо розрізняти два принципово різні сценарії.

Загальне корпоративне середовище. Для доступу до корпоративної пошти, VPN або внутрішніх сервісів SMS-коди залишаються кращим варіантом, ніж захист лише паролем. Проте для критичних сервісів — адміністративних акаунтів, DevOps-інфраструктури, хмарних платформ — сьогодні рекомендуються більш надійні механізми MFA: Authenticator-додатки, FIDO2 токени або апаратні ключі.

Платіжний сектор — жорсткіші вимоги. Для надавачів платіжних послуг ситуація принципово інша. EBA у своїй офіційній відповіді на запит Q&A 2018_4039 підтвердив, що SMS OTP може вважатися елементом “possession” (фактором володіння) в рамках сильної автентифікації клієнта (SCA) за PSD2, але лише за умови дотримання вимог статті 7(2) Делегованого регламенту ЄС 2018/389 — тобто за наявності заходів, що унеможливлюють копіювання елементу. При цьому фактором володіння вважається SIM-картка, а не саме SMS-повідомлення. В Україні аналогічний правовий режим запроваджений Постановою НБУ №58 від 03.05.2023, яка встановлює вимоги до посиленої автентифікації на ринку платіжних послуг України.

Однак EBA також нагадує, що незалежно від типу фактора автентифікації надавачі платіжних послуг зобов’язані забезпечувати конфіденційність і цілісність облікових даних та кодів автентифікації на всіх етапах (стаття 22 Делегованого регламенту). Саме це є найбільшою проблемою для SMS: відкритий характер каналу передачі суперечить вимогам до конфіденційності, а відсутність прив’язки одноразового коду до конкретної транзакції — вимогам до “динамічного пов’язування” (dynamic linking) за статтею 5 Делегованого регламенту. Динамічне пов’язування вимагає, щоб код автентифікації був унікально пов’язаний із конкретною сумою та отримувачем платежу, і щоб платник бачив ці деталі в момент підтвердження — чого стандартна SMS OTP не забезпечує.

Таким чином, для платіжних установ під дією PSD2 SMS OTP формально ще може бути використана як елемент SCA, але лише якщо вона відповідає всій сукупності вимог регламенту. На практиці це означає необхідність додаткових заходів захисту або переходу до більш надійних механізмів — наприклад, мобільних додатків з динамічним пов’язуванням або апаратних токенів.

Найчастіше компанії переходять на:

Найчастіше компанії переходять на:

• Microsoft Authenticator;
• Google Authenticator;
• FIDO2 токени;
• апаратні ключі безпеки;
• push-based MFA.

Особливо це актуально для адміністраторів, DevOps-команд та керівництва компанії.

Як Smart Lab допомагає впроваджувати сучасну MFA

Перехід від SMS-кодів до сучасної MFA — це не просто “увімкнути нову функцію”. Важливо правильно інтегрувати систему в існуючу інфраструктуру компанії та зробити її зручною для працівників.

Команда Smart Lab допомагає:

• оцінити поточні ризики;
• визначити критичні системи;
• підібрати оптимальний тип MFA;
• налаштувати FIDO2 токени;
• інтегрувати MFA з Microsoft 365, GitLab, VPN та іншими сервісами;
• організувати резервні сценарії доступу;
• навчити працівників безпечній роботі з MFA.

Мета полягає не лише в підвищенні рівня безпеки, а й у створенні системи, яка буде реально працювати у повсякденному бізнес-середовищі.

Потрібно впровадити MFA або 2FA у вашій компанії?

Smart Lab допоможе підібрати та налаштувати багатофакторну автентифікацію для корпоративної пошти, GitLab, VPN, хмарних сервісів та внутрішніх систем.

Обговорити рішення

Висновок

SMS-коди стали важливим етапом розвитку двофакторної автентифікації, але сучасні кіберзагрози показали їхні обмеження. Для бізнесу, який використовує хмарні сервіси, корпоративну пошту, GitLab або VPN, сьогодні дедалі актуальнішими стають сучасні MFA-рішення. Для платіжних установ під дією PSD2 та Постанови НБУ №58 ситуація ще виразніша: регулятор вимагає захисту конфіденційності кодів автентифікації та дотримання вимог до динамічного пов’язування, що SMS-канал не може гарантувати в повній мірі.

Push-підтвердження, Authenticator-додатки та FIDO2 токени забезпечують значно кращий рівень захисту від фішингу та компрометації акаунтів.

Команда Smart Lab допоможе підібрати та впровадити сучасну багатофакторну автентифікацію для вашої компанії з урахуванням специфіки бізнесу та реальних вимог безпеки.