Двухфакторная аутентификация не работает. Вот данные

Coinbase потерял 6,000 аккаунтов за три месяца. У всех была включена двухфакторная аутентификация через SMS. Как это произошло?

Механика атаки

Хакеры использовали SIM-swapping: убедили оператора связи перевести номер на новую SIM-карту. После этого все SMS-коды приходили атакующим. Средняя продолжительность атаки — 12 минут от начала до вывода средств.

T-Mobile зафиксировал 2,700 случаев успешного SIM-swapping только за первый квартал 2023 года. Операторы связи одобряют 78% запросов на перенос номера без достаточной верификации.

Push-уведомления ещё хуже

Barclays Bank столкнулся с атаками усталости. Хакеры отправляли сотни push-запросов на подтверждение входа. Пользователи, уставшие от уведомлений посреди ночи, нажимали подтвердить просто чтобы это прекратилось. Сработало в 23% случаев.

Что работает

Аппаратные ключи безопасности YubiKey. Cloudflare перевел всех сотрудников на них в 2020 году. За три года — ноль успешных фишинговых атак среди 2,500 человек.

Google внедрил обязательное использование физических ключей для доступа к внутренним системам. Количество компрометаций упало с 150 до 0 случаев в год.

Физический ключ нельзя перехватить, подделать или утомить уведомлениями. Да, его можно потерять. Но статистика показывает: потеря ключа случается в 400 раз реже, чем взлом через SMS.

Двухфакторная аутентификация работает только когда второй фактор действительно независим от первого.