SMS-верификация против приложений-аутентификаторов: что безопаснее?

Два фактора, две совершенно разные модели угроз

Когда сервис просит второй фактор, он просит вас доказать две вещи: что вы знаете пароль и что вы обладаете чем-то ещё. Это "что-то ещё" и отличается между SMS и приложением-аутентификатором, и различия имеют значение только при рассмотрении конкретных сценариев атак.

SMS просит провайдера сообщений сервиса отправить одноразовый код на номер телефона. Владение подтверждается получением кода на устройстве, которое контролирует этот номер — что критически важно — на SIM-картой или маршрутизацией виртуального номера владеет именно тот, кто её контролирует, а не обязательно вы.

Приложения-аутентификаторы вроде Google Authenticator, Authy, Aegis или 2FAS генерируют коды локально на устройстве, используя общий секрет, обменённый при регистрации. Владение подтверждается тем, что у вас есть устройство с этим секретом. Код не передаётся по сети — он вычисляется у вас в кармане.

Это единственное различие — коды, приходящие из сети, versus коды, вычисляемые локально — является источником почти всех различий в безопасности между двумя методами. Угрозы, от которых они защищают, угрозы, от которых они не защищают, и пути восстановления — всё вытекает отсюда.

Как атакуют одноразовые коды SMS

Поверхность атак SMS необычайно широка, потому что SMS проходит через несколько систем, прежде чем дойти до вас.

SIM-своп — наиболее известная атака и остаётся эффективной в 2026 году. Злоумышленник социально инженерит сотрудника оператора — или подкупает его — чтобы перенести ваш номер на SIM, которую контролирует. Как только SIM в их руках, каждая SMS, которая пришла бы вам, включая коды сброса пароля, попадает им в руки. Освещение громких SIM-свопов не замедлилось; техника достаточно прибыльна, чтобы полуорганизованные группы продолжали заниматься ею.

Перехват SS7 использует слабости в протоколе межоператорской сигнализации, который связывает мировые сети телефонов с 1980-х годов. С доступом к SS7-шлюзу — продаётся тихо на серых рынках — злоумышленник может перенаправить маршрутизацию SMS без прикосновения к вашей SIM. Это требует больше навыков, чем SIM-своп, и редко встречается вне целевых атак, но это многократно демонстрировалось против банков.

Инсайдеры оператора и фишинг на сотрудников поддержки — связанный класс. С точки зрения оператора, инструменты поддержки клиентов — это обычное программное обеспечение CRM. Мотивированный злоумышленник, выполняющий фишинг сессии сотрудника поддержки, может осуществить переносы, изменить маршрутизацию и прочитать логи SMS.

Смишинг — самая простая атака: злоумышленник отправляет вам поддельную SMS, которая выглядит как законный запрос верификации, надеясь, что вы введёте код на фишинг-страницу. Это единственная атака здесь, против которой приложения-аутентификаторы также не могут защитить, поскольку коды аутентификаторов также могут быть перехвачены, если пользователь обманут.

Общая нить: SMS зависит от множества систем, которые вы не контролируете, и компрометация любой из них достаточна. Коды аутентификатора зависят только от устройства, которое вы физически держите.

Где не срабатывают приложения-аутентификаторы

Приложения-аутентификаторы не неуязвимы. Они имеют свои режимы отказа.

Фишинг всё ещё работает. Хорошо сработанная поддельная страница входа может попросить у вас пароль и TOTP-код в реальном времени, и скрипт за страницей отправляет оба на реальный сервис до истечения 30-секундного окна. Это доминирующая атака на защищённые аутентификаторами аккаунты в 2026 году и причина того, что WebAuthn / passkeys медленно вытесняют TOTP.

Потеря устройства смертельна без резервной копии. Если вы установили Google Authenticator на один телефон, потеряли телефон и никогда не сохраняли коды восстановления, вы заблокированы во всех аккаунтах. Восстановление зависит от поддержки каждого сервиса, что часто занимает дни и требует подтверждения личности.

Облачные аутентификаторы вводят новую поверхность атак. Authy печально известна взломом в 2024 году, который утёк номера телефонов, привязанные к аккаунтам. Приложения-аутентификаторы, синхронизирующиеся с iCloud или Google Drive, подвергают ваши семена любому, кто может скомпрометировать этот аккаунт. Компромисс реален: потеряйте устройство или потеряйте облако, выберите, что вас беспокоит меньше.

Вредоносное ПО на устройстве. Скомпрометированный телефон может читать TOTP-коды со скриншота или записи экрана. Это специализированная атака и редкая против обычных пользователей, но для высокостоимостных целей это документировано.

Переиспользование OTP и дрейф времени. Если часы устройства дрейфуют, коды не валидируются. Если один и тот же секрет зарегистрирован на двух устройствах и одно украдено, оба выдают допустимые коды, пока секрет не отозван.

Сравнение бок о бок

Читайте эту таблицу правильно: это не "аутентификатор побеждает во всех рядах". SMS побеждает по доступности, восстановлению аккаунта и нулевой настройке. Для случайного входа на форум SMS хорош. Для вашего банка, вашей почты или крипто-биржи важен ряд "устойчивость к SIM-свопу", и там SMS теряет плохо.

Когда SMS 2FA — правильный выбор

Есть реальные случаи, когда SMS 2FA — лучший вариант:

• Пользователь не имеет смартфона. Пожилые родственники, некоторые рабочие места, любой, использующий сотовый телефон. SMS — единственный второй фактор, который они могут использовать.
• Восстановление аккаунта доминирует. Для низкостоимостных аккаунтов стоимость блокировки (невозможно получить доступ к логину сайта с рецептами) превышает стоимость атаки (кто-то крадёт ваши сохранённые рецепты).
• Модель угрозы — случайные атаки, не целевые. Случайные злоумышленники не SIM-свопят случайных людей; они идут на высокостоимостные цели. Если вы не высокостоимостная цель, SMS препятствует случайным атакам адекватно.
• Вы используете виртуальный номер. Виртуальный номер телефона, используемый для одного конкретного аккаунта, никогда не привязанный к вашей реальной личности, значительно сложнее для SIM-свопа, потому что злоумышленник должен сначала определить, какой провайдер его размещает. Это не устраняет риск SS7, но значительно поднимает планку наиболее распространённой атаки. Многие пользователи регистрируют аккаунты через поток SMS-активации именно для того, чтобы линия верификации была отделена от их основного номера.

Паттерн "виртуальный номер для низкостоимостных аккаунтов" становится всё более распространённым: используйте SMS 2FA поаккаунтно с одноразовыми номерами и зарезервируйте TOTP или аппаратные ключи для аккаунтов, которые содержат деньги или переписку.

Когда приложения-аутентификаторы неоспоримы

Если любое из следующего описывает ваш аккаунт, приложение-аутентификатор (или, ещё лучше, аппаратный ключ) — это правильная базовая линия:

• На аккаунте хранятся деньги — банк, брокер, крипто-биржа, платёжный процессор
• На аккаунте хранится долгосрочная переписка — почта, особенно почта, которая обеспечивает резервную копию других аккаунтов
• Аккаунт используется для работы — корпоративный SSO, управление исходным кодом, облачная инфраструктура
• На аккаунте содержатся регулируемые данные — здравоохранение, государственные сервисы
• Аккаунт мог бы подвергнуть вас риску, если бы был взломан — основные социальные сети, приложения знакомств или что-либо, привязанное к вашей реальной личности

Для этих, риск SIM-свопа доминирует всё остальное. Используйте аутентификатор вместе с WebAuthn / аппаратным ключом там, где поддерживается. Для крипто-бирж в частности, расчёт другой: обычно вам нужны оба, потому что биржи требуют SMS как резервный вариант даже после установки TOTP.

Гибридные настройки, которые действительно работают

Самая сильная практическая настройка для большинства пользователей — слоистая:

1. TOTP через поддерживаемый аутентификатор как основной второй фактор. Aegis с зашифрованными локальными резервными копиями, 2FAS с iCloud или Authy, если вы принимаете модель облачного доверия.
2. Коды восстановления, напечатанные на бумаге хранящиеся оффлайн. Большинство сервисов дают вам 8-16 кодов при настройке TOTP. Относитесь к ним как к наличным деньгам.
3. Виртуальный номер SMS на аккаунте, изолированный от вашей основной линии, только для сервисов, которые требуют его как резервный вариант. Номер не должен быть вашим "реальным" номером — он просто должен быть доступным. Используйте долгосрочный арендный номер для стабильности или выделенный DID для аккаунтов, на которые вы часто входите.
4. Аппаратный ключ (YubiKey, Feitian) сверху для аккаунтов, которые его поддерживают. Защита от фишинга так, как ничто другое здесь не может.

Эта настройка стоит примерно двадцать долларов в год (арендный номер плюс опциональный аппаратный ключ) и защищает вас от всех реалистичных атак, кроме полной компрометации устройства.

Что переносить в первую очередь, если вы начинаете сегодня

Если вы читаете это и все ваши аккаунты только с SMS, сделайте это по порядку:

1. Почта в первую очередь. Это аккаунт восстановления для всего остального. Переносите его на TOTP на этой неделе.
2. Финансовые аккаунты во вторую очередь. Банк, брокер, платёжные процессоры. Некоторые банки всё ещё сопротивляются TOTP — давите на них, или выберите банк, который его предлагает.
3. Всё, привязанное к вашей реальной личности. Основные социальные сети, государственные порталы, здравоохранение.
4. Аккаунты с долгосрочной ценностью. Облачное хранилище, репозитории кода, всё, над чем вы потеряете работу.
5. Всё остальное. SMS хорош для длинного хвоста. Если у вас сотни аккаунтов, использование виртуальных номеров быстрее, чем регистрация каждого в TOTP.

Суть всего этого не в том, что SMS небезопасен и приложения-аутентификаторы безопасны. Это то, что они не срабатывают против разных угроз, и правильный выбор зависит от того, что вы защищаете. Для внешней перспективы на базовые слабости SS7, резюме на Wikipedia об атаках SS7 — справедливая отправная точка.

Выбирайте второй фактор, который соответствует угрозе. Слойте их там, где это имеет значение. И если вы вообще используете SMS, по крайней мере сделайте это на номере, который не является также вашей основной линией — это одно изменение закрывает самый простой вектор атаки с нулевой текущей стоимостью.