Сегодня в России человек может потерять доступ к своим деньгам и аккаунту на Госуслугах, назвав мошенникам всего один код из СМС.
Это происходит из-за того, что система восстановления доступа устроена небезопасно.
Формально используется двухфакторная аутентификация (пароль + СМС-код), но на практике она легко обходится:
мошенники инициируют восстановление доступа;
жертве приходит СМС-код;
человек сообщает этот код и этого оказывается достаточно для входа в аккаунт.
Дополнительно могут использоваться такие данные, как номер карты, счёта, СНИЛС или паспорт. Но эти данные не являются секретными и часто уже известны мошенникам.
В результате:
двухфакторная защита фактически превращается в однофакторную;
один случайный разговор или ошибка человека приводит к полной потере контроля над аккаунтом;
ответственность перекладывается на пользователя, хотя уязвимость заложена в самой системе.
Такая ситуация недопустима для банков и государственных сервисов.
Практический результат
Снижение числа случаев мошенничества, связанных с несанкционированным доступом к аккаунтам.
Даже в случае, если пользователь сообщил злоумышленникам код из СМС, это не приведёт к компрометации аккаунта, поскольку для доступа будет требоваться дополнительный независимый фактор аутентификации.