Независимый журналист Брайан Кребс, известный своими разоблачения хакерского андеграунда и журналистскими расследованиями, обратил внимание на странную ситуацию, сложившуюся вокруг безопасности аукциона eBay.

Еще в 2007 году компания PayPal, тогда являвшаяся частью eBay, стала предлагать своим пользователям аппаратные токены за $5 для генерации надежных одноразовых паролей двухфакторной аутентификации. В те годы PayPal была одной из немногих компаний предлагавших такую услугу, и аппаратные токены до сих пор являются прекрасным вариантом для двухфакторной аутентификации, который, по мнению экспертов, куда безопаснее мобильных приложений и SMS-сообщений. Все-таки вряд ли возможно удаленно взломать подобный токен и перехватить код, чего нельзя сказать о приложениях и тестовых сообщениях.

22 марта 2017 года Кребс опубликовал в своем блоге скришнот письма, полученного от eBay (см. ниже). В письме его уведомляют, что двухфакторная аутентификация становится еще удобнее и безопаснее, так как больше нет необходимости использовать аппаратный токен. Вместо токена пользователю предлагают перейти на мобильное устройство, SMS-сообщения или официальное приложение eBay.

Кребс до сих пор пользуется токеном, приобретенным в 2007 году, и полностью им доволен. Более того, журналист напоминает, что в конце 2016 года даже специалисты Национального Института стандартов и технологий США (The National Institute of Standards and Technology, NIST) признали, что использование SMS-сообщений для осуществления двухфакторной аутентификации — это «недопустимо» и «небезопасно», и сообщили, что в будущем данная практика поощряться не будет.

Журналист обратился за разъяснением ситуации к представителям eBay, и полученный ответ заставил Кребса предположить, что сейчас компания пытается сосредоточить аутентификационные решения in-house, так как токены производила компания Verisign.

Представители компании заверили Кребса, что возможность применять для двухфакторной аутентификации SMS-сообщения – это лишь удобная опция, созданная для того, чтобы пользователям было проще сделать выбор в пользу двухфакторной аутентификации в целом. Компания не планирует запрещать использование токенов и обещает представить больше решений в будущем. При этом представители eBay не ответили, будет ли продолжена поддержка приложения Symantec VIP Security Key, которое также предлагает пользователям eBay и PayPal более надежный «второй фактор», нежели SMS.

В заключение Кребс отмечает, что он сам, разумеется, продолжит использовать для PayPal и eBay аппаратный токен, но SMS-сообщения – это тоже лучше, чем ничего.



2 комментария

  1. AgentJordan

    25.03.2017 at 16:30

    PayPal в 2007 стал предлагать аппаратные токены и, видимо, с тех пор в развитии безопасности не продвинулся. В 2017 пароль не больше 20 символов, нельзя использовать пробел (он попросту удаляется у тебя на глазах), юникод — тоже в запрете 👍
    По поводу eBay, то мистер Кребс сделал из мухи слона. Раньше eBay мог использовать только токены, что недоступно для всех, в отличии от телефона. Как он сам сказал, СМС — лучше чем ничего.

    • g4m37r4ck

      25.03.2017 at 19:19

      Мне давно кажется, что PayPal — «мёртв».
      P.S. Я имею в виду безопасность, а с количеством юзверей всё ок)

Оставить мнение