В ЧЁМ УЯЗВИМОСТЬ ДВУХФАКТОРНОЙ АУТЕНТИФИКАЦИИ!
Это пятый подряд пост на тему: «Как защитить аккаунт соцсети, чтобы его не взломали».
Если вы спросите, нужно ли подключать двухфакторную аутентификацию, ответ да. Везде, где это можно, я рекомендую подключать двухфакторку.
Но с ней, не все так однозначно и вот почему.
Двухфакторку можно подключить двумя способами.
Первый, получать коды виде СМС на телефон.
Второй, подключить через приложение, например Google Authenticator.
Если предположить, что злоумышленники подобрали пароль к аккаунту, то передними встаёт второй шаг, это двух. аут., им нужно будет ввести шестизначный код.
Если двух. аут. подключена через СМС, то её недостаток в том, что код из СМС, как правило действует 3 минуты. И код содержит только 6 цифр.
Если есть мощные компьютерные ресурсы, то трёх минут достаточно, чтобы используя разные IP-адреса, провести брутфорс атаку и подобрать код.
Код из СМС, это 6 цифр от 0 до 9, значит вариантов комбинаций 10 в 6 степени, а это всего лишь 1 000 000 вариантов.
Что в рамках брутфорса, не так уж и много.
Подключив двух. аут. через приложение, там генерируется каждые 30 секунд новый код из 6 цифр, что в разы усложняет задачу подобрать код от вашего аккаунта.
Можно установить приложение, которое генерирует не 6 цифр, а 8.
10 в 8 степени, это 100 000 000 комбинаций.
Подобрать 100 000 000 кодов за 30 секунд, используя разные IP-адреса, очень сложно.
Никто в здравом уме не будет тратить столько ресурсов, чтобы взломать аккаунт обычного человека, мошенникам это экономически не выгодно.
Вывод, рекомендую подключить двухфакторную аутентификацию через приложение, а не через СМС.
