В современном мире безопасность данных играет решающую роль. Несмотря на развитие технологий, многие пользователи продолжают использовать устаревшие методы аутентификации, такие как SMS-коды. Однако они больше не обеспечивают должного уровня защиты.
Иллюзия безопасности SMS-кодов
SMS-коды, которые часто используются для двухфакторной аутентификации, не являются надежными. Протокол SS7, на котором основана передача SMS, имеет уязвимости, позволяющие перехватывать сообщения. Кроме того, возможна подмена SIM-карты, что дает злоумышленникам доступ к кодам.
Проблемы с экосистемными мессенджерами
Некоторые сервисы предлагают использовать проприетарные мессенджеры для передачи кодов аутентификации. Однако такие решения требуют установки дополнительного ПО, которое может собирать личные данные и требует подключения к интернету.
TOTP: новый уровень безопасности
TOTP (Time-based One-Time Password) — это стандарт, который генерирует одноразовые пароли на основе текущего времени. Такой подход обеспечивает высокий уровень безопасности и не требует подключения к интернету.
Принцип работы TOTP
TOTP использует алгоритм HMAC-SHA1 и общий секретный ключ, который обменивается между сервером и телефоном. Текущее время делится на интервалы, и на основе этого генерируется одноразовый пароль.
Преимущества TOTP
- Работа в оффлайн-режиме
- Высокий уровень приватности
- Защита от перехвата кодов
Как перейти на TOTP
Для перехода на TOTP необходимо установить приложение-аутентификатор, такое как Aegis Authenticator или Google Authenticator. Затем нужно настроить приложение и отсканировать QR-код, который будет сгенерирован сервисом.
Conclusion
TOTP — это простой и надежный способ повысить безопасность своих данных. Переход на TOTP занимает всего несколько минут, но существенно повышает уровень защиты.
Однако TOTP не является идеальным решением, так как не защищает от фишинга. Для более высокой безопасности можно использовать альтернативные решения, такие как WebAuthn/FIDO2/passkeys.
EN 
RU