![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
как воруют аккаунты
Aug. 7th, 2025 12:06 pmВсе больше и больше сайтов переходят на схему аутенфикации "введите свой email, мы вышлем вам одноразовый код, введите его", обходя вопрос паролей вообще стороной.
Да, это удобно тем, что не надо ничего помнить или пользоваться менеджером паролей (и защищает от плохой привычки пользоваться одним паролем для всех сайтов). Но в целом с точки зрения секьюрити это, пожалуй, хуже, потому что позволяет воровать аккаунты, даже без перехватки мейлов или контроля над девайсом пользователя. Комментарор в Hacker News подроно объясняет, как это работает:
"Схема атаки:
Пользователь заходит на ПЛОХОЙ сайт и регистрируется.
ПЛОХОЙ сайт говорит: "Мы отправили вам письмо, пожалуйста, введите 6-значный код! Письмо придет от ХОРОШЕГО сайта, поскольку они наш партнер для входа в систему."
Боты ПЛОХОГО сайта запускают процесс "Войти с помощью одноразового кода по email" на ХОРОШЕМ сайте, используя email пользователя.
ХОРОШИЙ сайт отправляет одноразовый код для входа на email пользователя.
Пользователь с большой вероятностью доверяет этому письму, потому что оно от ХОРОШЕГО сайта, и зачем бы ХОРОШЕМУ сайту отправлять его, если это не настоящий вход в систему?
Пользователь вводит код на ПЛОХОМ сайте.
ПЛОХОЙ сайт использует код для входа на ХОРОШИЙ сайт от имени пользователя. Теперь ПЛОХОЙ сайт имеет полный доступ к аккаунту пользователя на ХОРОШЕМ сайте.
Именно поэтому "отправить мне одноразовый код по email" — один из худших способов аутентификации с точки зрения фишинга. Просто очень сложно не дать пользователям совершить эту ошибку."
Единственная рекомендация при такой схеме - это всегда проверять себя, перед тем, как использовать код, посланный важным сайтом через мейл или SMS: действительно ли у меня этот код запросил ИМЕННО ЭТОТ сайт/сервис? В мейлах/SMS от банков и кредитных компаний, по моему опыту, теперь перед кодом или рядом с кодом помещают большой блок текста именно на эту тему: проверьте, действительно ли это мы запросили и вы у нас на сайте это вводите. Но кто ж это все читает, ясно, что никто. Будьте (хотя бы минимально) бдительны.
Да, это удобно тем, что не надо ничего помнить или пользоваться менеджером паролей (и защищает от плохой привычки пользоваться одним паролем для всех сайтов). Но в целом с точки зрения секьюрити это, пожалуй, хуже, потому что позволяет воровать аккаунты, даже без перехватки мейлов или контроля над девайсом пользователя. Комментарор в Hacker News подроно объясняет, как это работает:
"Схема атаки:
Пользователь заходит на ПЛОХОЙ сайт и регистрируется.
ПЛОХОЙ сайт говорит: "Мы отправили вам письмо, пожалуйста, введите 6-значный код! Письмо придет от ХОРОШЕГО сайта, поскольку они наш партнер для входа в систему."
Боты ПЛОХОГО сайта запускают процесс "Войти с помощью одноразового кода по email" на ХОРОШЕМ сайте, используя email пользователя.
ХОРОШИЙ сайт отправляет одноразовый код для входа на email пользователя.
Пользователь с большой вероятностью доверяет этому письму, потому что оно от ХОРОШЕГО сайта, и зачем бы ХОРОШЕМУ сайту отправлять его, если это не настоящий вход в систему?
Пользователь вводит код на ПЛОХОМ сайте.
ПЛОХОЙ сайт использует код для входа на ХОРОШИЙ сайт от имени пользователя. Теперь ПЛОХОЙ сайт имеет полный доступ к аккаунту пользователя на ХОРОШЕМ сайте.
Именно поэтому "отправить мне одноразовый код по email" — один из худших способов аутентификации с точки зрения фишинга. Просто очень сложно не дать пользователям совершить эту ошибку."
Единственная рекомендация при такой схеме - это всегда проверять себя, перед тем, как использовать код, посланный важным сайтом через мейл или SMS: действительно ли у меня этот код запросил ИМЕННО ЭТОТ сайт/сервис? В мейлах/SMS от банков и кредитных компаний, по моему опыту, теперь перед кодом или рядом с кодом помещают большой блок текста именно на эту тему: проверьте, действительно ли это мы запросили и вы у нас на сайте это вводите. Но кто ж это все читает, ясно, что никто. Будьте (хотя бы минимально) бдительны.
