Как не нужно реализовывать смс авторизацию

Підписуйтеся на Telegram-канал «DOU #tech», щоб не пропустити нові технічні статті

Обнаружил на одном сайте. В форме подтверждения номера телефона через смс код, встретил такую реализацию: разработчик шлет с клиента на сервер запрос на отправку смс пароля и тут же в ответе возвращает этот пароль. Рукалицо...

👍ПодобаєтьсяСподобалось0
До обраногоВ обраному0
LinkedIn
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter

Под 630% годовых? Нет уж, извольте.

Ну это вообще печальный случай

вахахахахахах. аж прослезился)

Зачем нам профессиональные решения для аутентификации, говорили они...
Мы сами все сделаем, говорили они...

Эпично!

Ёшкина киса.... посмотрите ГДЕ эта уязвимость! siteheart.com — продукт Приватбанка!

Превед известен своей неадекватной реакцией в ответ на найденные уязвимости.

Тут, кстати, на ДОУ есть же дипломированный сертифицированный сеньор секурити эксперт по безопасности (который еще российский крым пропагандирует) — вот лучше бы работой занимался, а не одами РФ.

Может быть они кормятся с этих уязвимостей, кто знает. Я например живу на перекрестке, где в месяц случается минимум 1 авария, раньше вообще каждую неделю и что вы думаете? Никто за 20 лет не додумался поставить там светофор, ни положить ограничитель скорости («мент») ни хотя бы зебру нарисовать. Всегда приезжает патруль ДПС, чинно описывает, фиксирует, и ситуация повторяется.

ой, про ДПС и иже с ними лучше вообще не будем — это совершенно отдельная форма жизни, с которой кого-то сравнивать — считай что оскорблять. На ниве паразитирования они абсолютные чемпионы.

Нет, это не Приват, просто на сайте подключен чат Siteheart.
Но это сайт по выдаче кредитов, который хранит у себя паспортные данные клиентов и много другой информации

Ну во-первых, именно они славятся своей манией везде присобачивать SMS-авторизацию. Во-вторых, в окошке дебага вижу именно плагин siteheart. А этот плагин специально сделан под приём платежей, это его фича.
Ну и главное — по SMS-авторизации точно знаю об одной уязвимости. Которую банк не закрывает уже лет эдак 5, хотя о ней извещён и даже отрапортовали о решении. Равно как и уведомлены о том что дыра осталась.

В совпадения верите?

Веришь что не-приват станет ставить себе плагин от Привата? От конкурента?? Мне кажется, есть более простое объяснение — это вероятно ещё один сервис Привата, который якобы не относится к банку. Как, кстати, и siteheart — формально банку не принадлежит...

Ради интереса почитал их договор — а теперь скачайте договора Привата, найдёте совпадение формулировок по тексту договора. Это уж точно случайное совпадение...

Почти во всех отечественных системах, с которыми я сталкивался (как пользователь), сначала предлагают ввести номер телефона, потом на этот номер отправляют пароль. Кому принадлежит этот номер, никак не проверяется.

Объясните мне кто-нибудь, от чего вообще эта защита?

Кому принадлежит этот номер, никак не проверяется.
Вы бы пример привели. Т.к. в такой ситуации получается что введя произвольный номер телефона, попадаешь в произвольную учетную запись, что как бы не противоречит замыслу.

Прошу прощения, был не точен. Я говорю об авторизации оплаты картой.

Пополняю я, например, счет мобильного. Ввожу данные карты. Потом меня спрашивают номер телефона, и на этот номер отправляют одноразовый пароль.

Или, например, перевожу деньги с карты на карту через терминал ПриватБанка. Там эту процедуру надо аж дважды проходить.

Да, согласен.
А вы пробовали левый номер телефона вводить?

Да, как-то раз использовал телефон жены, авторизация прошла успешно.

Если это авторизация карты, как например 3dsecure, то у вас телефон не спрашивают, а выводит его на своей странице банк-эмитент, т.е. банк знает ваш телефон и высылает на него смс для проверки, что вы являетесь владельцем карты. А если телефон вводите вы, то так делает например Liqpay или Приват для авторизации и входа в ваш аккаунт и для подтягивания ваших карточек или просто для проверки, что вы являетесь владельцем этого номера телефона ,что бы потом можно было с вами связаться

Значить поповнила вам рахунок ваша дружина :)

Нет, я пополнил свой мобильный своей картой, но ради эксперимента для смс-авторизации использовал чужой телефон. (Вряд ли платежная система знает, что это телефон моей жены.)

Если говорить об аутентификации в целом, то: пароль на телефон нужно отправлять чтобы убедится, что у пользователя есть телефон. Наличие телефона — один из факторов аутентификации. Выделяют всего три фактора аутентификации:
1. Нечто, что пользователь знает: пароль, девичья фамилия матери и т.д.
2. Нечто, чем пользователь владеет: телефон, банковская карта, токен аутентификации и т.д.
3. Нечто, чем пользователь является, т.е. биометрика: отпечаток пальца, рисунок сетчатки глаза и т.д.

Применение сразу нескольких факторов, например, пароль и код на телефон, называется многофакторной аутентификацией. Смысл ее использования заключается в том, что недостатки одного фактора компенсируются преимуществами другого.

Что касается описанной Вами ситуации, когда нет проверки кому принадлежит номер телефона, то, возможно, в системе присутствует скрытая связь телефона с аккаунтом пользователя, либо номер телефона выступает в качестве логина, как в Приват24, например.

Недостатки доставки одноразового пароля по SMS — тема отдельной статьи.

Непогано було б якби такі статті зявлялись на просторах ДОУ ;)

Я подумаю над Вашим предложением :)

Підписатись на коментарі