Что значит код подтверждения

Что значит код подтверждения

Банки и другие сервисы используют коды подтверждения для защиты от мошенников. Обычно код выглядит как число из 4–6 цифр, которое приходит по СМС или пуш-оповещением.

В этой заметке я расскажу об удобстве и безопасности разных вариантов.

Какие бывают коды

Дизайн кода подтверждения — классическая проблема, когда кажется, что безопасность конфликтует с удобством использования. Безопасники хотят сделать код как можно длиннее, чтобы злодей не смог его подобрать. А продуктовые ребята наоборот, хотят коды покороче, чтобы человеку было проще запомнить.

Я попросил участников чата «Интерфейсов без шелухи» прислать примеры кодов подтверждения от разных сервисов. Всего в выборку попало 30 сервисов, вот статистика:

  • 45% сервисов используют коды из 6 цифр
  • 41% используют 4 цифры
  • 14% используют 5 цифр

Какой длины кода достаточно

Если у вас в компании есть безопасник — наверняка он ответит «шесть цифр и никак не меньше». 6 цифр — это 1 миллион комбинаций. Если дать злодею возможность беспрепятственно вводить коды каждую секунду, ему потребуется 11 дней, чтобы угадать.

Понятно, что беспрепятственно вводить коды никто не даст: сервисы ограничивают количество ошибочных попыток (а ещё время жизни кода и как часто можно генерить новые коды). Поэтому 6 цифр — это неоправданно много.

Код из 4 цифр даёт 10 тысяч комбинаций. Если разрешить 3 попытки ввода, шанс угадать составит 0,03%. Другими словами, злоумышленнику придётся попытать счастья с 3300 человек, прежде чем у него что-то получится. Не слишком интересный расклад для злодея ツ

Правда ли, что цифры в коде повторяются

Это довольно распространённая точка зрения. Хочется думать: родной банк так заботится о твоём удобстве, что генерит коды с повторяющимися цифрами — чтобы легче было запомнить:

Читайте также:  Как найти скрытые программы на телефоне

В большинстве случаев это заблуждение. Чем длинее код, тем больше вероятность, что цифры в нём повторятся сами собой, без всяких усилий сервиса. Например, для кода из 4 цифр вероятность повторения хотя бы одной цифры — 50%. А для кода из 6 цифр — уже 85%.

Ради интереса я взял сервисы, по которым собрал больше всего данных, и проверил, какова доля кодов с повторами в цифрах. У большинства распределение получилось несмещённое, то есть специально они одинаковые цифры не генерят.

Единственное исключение — «Тиньков»: у него 65% кодов с повторами против ожидаемых 50%.

Что, если всегда генерить код с повторами

Допустим, наш супер-дружественный сервис решил генерить 4-значные коды, в которых хотя бы одна цифра повторяется. Это примерно 5000 комбинаций — всего в два раза меньше, чем на «обычном» 4-значном коде.

Шанс угадать такой код на 3 попытках — 0,06% или 1650 бесплодных злодейских заходов. Как по мне, вполне надёжно. Хотя ваш безопасник будет против, конечно ツ

  • Никогда, никогда, никогда не делайте коды длиннее 6 цифр.
  • 4-значный код — хороший баланс между удобством и безопасностью.
  • Попробуйте генерить коды с повторами, пользователям понравится.

Для защиты вашего аккаунта WhatsApp отправит вам уведомление, если кто-либо попытается зарегистрировать аккаунт WhatsApp с вашим номером телефона. Чтобы ваш аккаунт оставался в безопасности, ни с кем не делитесь вашим кодом подтверждения в WhatsApp.

Когда вы получаете такое уведомление, это означает, что кто-то ввёл ваш номер телефона и запросил код подтверждения. Часто это происходит, когда другой пользователь ошибается при введении своего номера, но это также может произойти и в том случае, если кто-то пытается завладеть вашим аккаунтом.

Читайте также:  При видеозвонке в одноклассниках меня не видно

Пожалуйста, никогда не делитесь вашим кодом подтверждения в WhatsApp. Если кто-либо пытается украсть ваш аккаунт, им понадобится код подтверждения из SMS, отправленный на ваш номер телефона. Пользователь, пытающийся подтвердить ваш номер телефона, не сможет пройти процесс подтверждения без этого кода и воспользоваться вашим номером в WhatsApp. Это значит, что вы будете продолжать контролировать свой аккаунт в WhatsApp.

Xakep #251. Укрепляем VeraCrypt

Самые простые способы социальной инженерии иногда являются самыми эффективными. Например, самый лёгкий способ угнать машину — одеться в полицейскую форму и попросить водителя отдать ключи. Специалисты компании Symantec описывают способ угона почтовых ящиков, который ничем не сложнее и тоже предусматривает банальную имперсонификацию. Только здесь атакующий выдаёт себя не за полицейского, а за почтового провайдера.

Мошенник должен заранее знать телефонный номер жертвы. Затем он заходит на почтовый сайт, вводит почтовый адрес жертвы и переходит на форму восстановления забытого пароля. Там выбирает способ получения кода по SMS. Когда жертва получает код верификации, злоумышленник отправляет ей сообщение со своего номера с текстом примерно следующего содержания: «На вашем аккаунте замечена неавторизованная активность. Пожалуйста, пришлите код верификации, который вам только что выслали».

Жертва может подумать, что сообщение пришло от почтового провайдера — и высылает код. Дело сделано. Мошенник тут же авторизуется в системе и меняет пароль.

Дальнейшие действия злоумышленника должны быть оперативными, потому что жертва может довольно быстро восстановить утраченный доступ, получив новый код верификации.

Как вариант, пишет Symantec, можно установить дополнительный адрес для получения копий всех писем, а затем отправить жертве сообщение, что всё нормально, контроль над ящиком восстановлен. Здесь следует надеяться, что жертва забудет об инциденте и не станет проверять настройки. Тогда злоумышленник сможет долгое время читать её переписку.

Ссылка на основную публикацию
Хрипит динамик на телефоне при прослушивании
Одной из самых распространенных поломок мобильных аппаратов является выход из строя динамика. Любой пользователь мобильных телефонов знает, что сейчас производители...
Установить программу для сканирования документов бесплатно
Загрузите бесплатно пробную полнофункциональную версию программы для сканирования Scanitto Pro. Данная версия работает без каких-либо ограничений в течение 30 дней....
Установить протокол mtp media transfer protocol
Описание Компания Microsoft содержит под своим крылом множество драйверов, среди этой коллекции находится и Media Transfer Protocol, тот самый драйвер,...
Хэнкок из какой вселенной комиксов
Хэнкок Общая информацияЖанр Научная фантастика Драма Комедия Страна производстваСШАКиностудия Columbia Pictures РежиссёрПитер БергАвтор сценария Винс Джиллиган Винсент Нго Когда вышел2008...
Adblock detector