SSP Editorial Team

Мобильная 2FA: как правильно и как нет

·8 мин. чтения·Автор: SSP Editorial Team
Обложка SSP Academy для руководства по мобильной двухфакторной аутентификации, с иконками кошелька, ключа и щита на тёмном фоне.

Двухфакторная аутентификация (2FA) — одно из самых эффективных улучшений безопасности, которые вы можете сделать, но только если выбрать правильный её вид. Для пользователей криптовалют разница между сильной и слабой 2FA — это разница между аккаунтом, который выдержит настойчивого злоумышленника, и тем, который не выдержит. Загвоздка в том, что самая распространённая форма 2FA — одноразовый код по SMS — одновременно и самая слабая. Это руководство выстраивает варианты от худшего к лучшему, объясняет почему и даёт конкретный план по укреплению аккаунтов вокруг вашего кошелька.

Небольшое уточнение, прежде чем начать: собственная модель безопасности SSP — это вовсе не «2FA» в смысле одноразовых кодов. SSP использует multisig — два независимых ключа подписи на двух устройствах. К тому, почему это различие важно, мы ещё вернёмся. Сначала — о кодах.

Почему SMS-2FA подводит пользователей криптовалют

Одноразовый код по SMS создаёт ощущение защиты: вы вводите пароль, приходит шестизначное число, вы его набираете. Проблема в том, что второй фактор — контроль над вашим номером телефона — украсть гораздо проще, чем большинство думает.

Урон наносят два класса атак:

  • Подмена SIM-карты (SIM swapping). Злоумышленник убеждает (или подкупает) вашего мобильного оператора перенести ваш номер на SIM, которую он контролирует. Как только номер у него, все SMS-коды идут к нему. Держатели криптовалют — излюбленная цель именно потому, что добыча велика, а транзакции необратимы.
  • Перехват через SS7. SS7 — это сигнальный протокол, которому уже несколько десятилетий и который телеком-сети используют для маршрутизации звонков и сообщений. Известные слабости позволяют хорошо оснащённым злоумышленникам перехватывать SMS, даже не касаясь вашей SIM.

Это не маргинальная тревога. Национальный институт стандартов и технологий США относит SMS к «ограниченным» аутентификаторам в NIST SP 800-63B и прямо не рекомендует его использование в новых системах. Когда орган, определяющий цифровую идентичность, говорит вам, что метод уходит в прошлое, воспринимайте это как сигнал.

SMS-2FA всё же лучше, чем полное отсутствие 2FA. Но для любого аккаунта, который касается ваших денег, это должен быть последний выбор, а не выбор по умолчанию.

Приложения-аутентификаторы TOTP: практическая база

Практическая база для пользователей криптовалют — приложение-аутентификатор TOTP, из тех, что показывают сменяющийся шестизначный код, меняющийся каждые 30 секунд. TOTP определён в RFC 6238 и является настоящим шагом вперёд по сравнению с SMS по одной структурной причине: нет номера телефона, который можно угнать. Код генерируется на вашем устройстве из общего секрета, поэтому подмена SIM и перехват через SS7 попросту неприменимы.

Несколько правил делают TOTP заметно надёжнее:

  • Используйте приложение, а не SMS, везде, где сервис предлагает и то и другое. Большинство бирж и почтовых провайдеров поддерживают приложения-аутентификаторы.
  • Делайте резервную копию секрета настройки, а не только кодов. При подключении храните экспорт восстановления так же, как защищаете любые другие чувствительные учётные данные.
  • По возможности держите его отдельно от устройства, с которого входите, чтобы одна скомпрометированная машина не содержала оба фактора.

TOTP не идеален. Общий секрет хранится на телефоне, поэтому скомпрометированное устройство — или его небезопасная резервная копия в облаке — может этот секрет раскрыть. И, что критично, код TOTP всё ещё можно выудить фишингом в реальном времени: убедительная поддельная страница входа пересылает ваш пароль и свежий шестизначный код прямо в сессию злоумышленника до того, как код истечёт. Именно эту брешь закрывает следующий уровень. Если хотите научиться распознавать такие поддельные страницы, прочитайте наш разбор фишинговых атак на пользователей криптовалют.

Passkey и аппаратные ключи: устойчивы к фишингу

Passkey по стандартам FIDO2/WebAuthn и аппаратные ключи безопасности — это первый уровень, по-настоящему устойчивый к фишингу, и причина изящна: учётные данные криптографически привязаны к источнику (origin) сайта. Ваш аутентификатор входит только в тот реальный домен, для которого был зарегистрирован. У похожего фишингового сайта другой источник, поэтому passkey просто отказывается отвечать — нет шестизначного кода для пересылки, потому что кода нет вовсе.

Это свойство важнее любого другого в списке. И SMS, и TOTP полагаются на то, что человек прочитает число и куда-то его введёт; passkey полностью устраняют секрет, который человек может скопировать. Злоумышленник, создавший точную до пикселя копию входа на вашу биржу, не получает ничего, потому что на криптографический запрос отвечает оборудование, проверяющее источник за вас.

Аппаратные ключи безопасности — те физические, которые вы прикладываете или вставляете, — и платформенные passkey, хранящиеся в защищённом элементе вашего телефона или компьютера, оба реализуют это. Для аккаунтов с высокой ценностью аппаратный ключ — самый надёжный широко доступный второй фактор, который можно купить.

SSP Key — соподписант, а не код

Вот различие, на котором многие спотыкаются: безопасность SSP — это вовсе не «2FA» в смысле одноразовых кодов. Это multisig.

Стандартная 2FA защищает вход в аккаунт. SSP защищает саму транзакцию. SSP использует схему 2 из 2: один ключ живёт в браузерном расширении, другой — это SSP Key на вашем телефоне. Оба должны независимо подписать, прежде чем средства смогут двинуться. SSP Key — это криптографический соподписант: не шестизначное число, которое вы набираете, а отдельное устройство с отдельным ключом, выполняющее настоящую подпись.

Следствие носит структурный характер. Допустим, злоумышленник полностью скомпрометировал ваше браузерное расширение — выудил его фишингом или захватил машину, на которой оно работает. С шестизначным кодом на уровне приложения одной этой компрометации может хватить. С SSP — нет: перемещение средств всё равно требует независимого подтверждения на вашем телефоне, где вы видите детали транзакции и подписываете вторым ключом. Сторона браузера сама по себе ничего отправить не может. Эта вторая, независимая поверхность подписи — то, чем шестизначный код не станет никогда: ключ, который злоумышленнику тоже нужно скомпрометировать, на другом устройстве, в то же самое время.

Чтобы быть точными в том, что это делает, а что нет: SSP защищает акт траты. Это не заменяет хорошую гигиену на аккаунтах вокруг вашего кошелька. Если вы новичок в этой модели, настройте свой первый кошелёк SSP и сами понаблюдайте за процессом подтверждения на двух устройствах.

Защита аккаунтов вокруг вашего кошелька

Ваш кошелёк — не остров. Окружающие его аккаунты — почта, входы на биржи, облачные резервные копии, менеджер паролей — часто оказываются самым мягким путём к вашим средствам. Злоумышленник, захвативший вашу почту, может оттуда сбросить половину остальных ваших входов.

Примените ту же иерархию к каждому из них:

  • Почта: passkey или аппаратный ключ, если предлагается; иначе TOTP. Никогда только SMS. Ваша почта — главный рубильник сброса всего остального.
  • Биржи: аппаратный ключ или passkey для входа; никогда не полагайтесь на SMS и отключите восстановление по SMS, если биржа позволяет.
  • Облако и менеджер паролей: минимум TOTP, passkey там, где доступно.
  • Мобильный оператор: добавьте PIN для переноса номера или блокировку аккаунта, чтобы осложнить попытки подмены SIM.

Поскольку ваш телефон всё чаще хранит и ваш аутентификатор, и ваш SSP Key, относитесь к нему как к самостоятельному рубежу безопасности — надёжная блокировка экрана, актуальная операционная система, никаких приложений в обход магазинов. Подробнее о том, в чём кошелёк, ориентированный на телефон, хорош, а в чём нет, см. мобильные криптокошельки: в чём они хороши. А когда будете готовы укрепить всё за один проход, пройдите чек-лист самостоятельного хранения для ваших первых 1000 $.

План по обновлению вашей 2FA

Необязательно делать всё сразу. Двигайтесь сверху вниз по ценности:

  1. Инвентаризация. Перечислите каждый аккаунт, который может коснуться ваших денег или сбросить другой аккаунт: сначала почта, затем биржи, потом облако и менеджер паролей.
  2. Уберите только-SMS. Везде, где SMS — ваш единственный второй фактор, добавьте более сильный метод и удалите SMS как путь восстановления, где сервис это позволяет.
  3. Добавьте TOTP везде, где он предлагается. Это ваша база; она сразу закрывает дыры подмены SIM и SS7.
  4. Переведите ключевые аккаунты на passkey или аппаратный ключ. Сначала почта и биржи — это аккаунты, которых фишинговая страница жаждет больше всего.
  5. Заблокируйте оператора. Установите PIN для переноса номера, чтобы посторонний не смог увести ваш номер.
  6. Перепроверяйте ежеквартально. Варианты аутентификации меняются; сервис, у которого год назад был только SMS, теперь может поддерживать passkey.

Программа «Secure Our World» от CISA публикует руководства на простом языке, которыми стоит поделиться с менее техничными членами семьи — см. CISA.

Двигайтесь дальше

Сильная 2FA — это один слой. Она защищает двери вокруг вашего кошелька; multisig от SSP защищает саму трату. Вместе они убирают единые точки отказа, на которых попадается большинство.

Стройте дальше отсюда:

Поделиться статьёй

Похожие статьи

Пошаговая иллюстрация настройки кошелька SSP на телефоне и в браузере

Настройка вашего первого кошелька SSP

Пошаговое руководство по настройке SSP Wallet: установка приложения и расширения, сопряжение двух устройств, создание кошелька 2-of-2 и первая транзакция.

6 min read
Обложка SSP Academy для руководства для новичков по мобильным криптокошелькам и SSP Key

Мобильный криптокошелёк: плюсы, риски и SSP Key

Что мобильные криптокошельки делают хорошо — доступ всегда под рукой, биометрия, сканирование QR — где их слабые места и как сюда вписывается SSP Key.

7 min read
Обложка SSP Security с иконками кошелька, ключа, щита и чипа, иллюстрирующая руководство по фишинговым атакам на криптовалюты.

Фишинговые атаки на пользователей криптовалют (и как их распознать)

Криптофишинг атакует вас, а не криптографию. Узнайте паттерны — дренеры кошельков, фишинг одобрений, отравление адресов — и как помогает SSP.

7 min read