Независимый журналист Брайан Кребс, известный своими разоблачения хакерского андеграунда и журналистскими расследованиями, обратил внимание на странную ситуацию, сложившуюся вокруг безопасности аукциона eBay.
Еще в 2007 году компания PayPal, тогда являвшаяся частью eBay, стала предлагать своим пользователям аппаратные токены за $5 для генерации надежных одноразовых паролей двухфакторной аутентификации. В те годы PayPal была одной из немногих компаний предлагавших такую услугу, и аппаратные токены до сих пор являются прекрасным вариантом для двухфакторной аутентификации, который, по мнению экспертов, куда безопаснее мобильных приложений и SMS-сообщений. Все-таки вряд ли возможно удаленно взломать подобный токен и перехватить код, чего нельзя сказать о приложениях и тестовых сообщениях.
22 марта 2017 года Кребс опубликовал в своем блоге скришнот письма, полученного от eBay (см. ниже). В письме его уведомляют, что двухфакторная аутентификация становится еще удобнее и безопаснее, так как больше нет необходимости использовать аппаратный токен. Вместо токена пользователю предлагают перейти на мобильное устройство, SMS-сообщения или официальное приложение eBay.
Кребс до сих пор пользуется токеном, приобретенным в 2007 году, и полностью им доволен. Более того, журналист напоминает, что в конце 2016 года даже специалисты Национального Института стандартов и технологий США (The National Institute of Standards and Technology, NIST) признали, что использование SMS-сообщений для осуществления двухфакторной аутентификации — это «недопустимо» и «небезопасно», и сообщили, что в будущем данная практика поощряться не будет.
Журналист обратился за разъяснением ситуации к представителям eBay, и полученный ответ заставил Кребса предположить, что сейчас компания пытается сосредоточить аутентификационные решения in-house, так как токены производила компания Verisign.
Представители компании заверили Кребса, что возможность применять для двухфакторной аутентификации SMS-сообщения – это лишь удобная опция, созданная для того, чтобы пользователям было проще сделать выбор в пользу двухфакторной аутентификации в целом. Компания не планирует запрещать использование токенов и обещает представить больше решений в будущем. При этом представители eBay не ответили, будет ли продолжена поддержка приложения Symantec VIP Security Key, которое также предлагает пользователям eBay и PayPal более надежный «второй фактор», нежели SMS.
В заключение Кребс отмечает, что он сам, разумеется, продолжит использовать для PayPal и eBay аппаратный токен, но SMS-сообщения – это тоже лучше, чем ничего.
