sms аутентификация что это
Организация аутентификации по СМС по примеру Telegram/Viber/WhatsApp
Представим, что перед вами стоит задача организовать аутентификацию пользователя (в мобильном приложении, в первую очередь) так, как это сделано в Telegram/Viber/WhatsApp. А именно реализовать в API возможность осуществить следующие шаги:
Мне потребовалось некоторое количество времени, чтобы осознать, как правильно это сделать. Моя задача — поделиться наработанным с вами в надежде, что это сэкономит кому-то времени.
Я постараюсь кратко изложить выработанный подход к этому вопросу. Подразумевается, что у вас API, HTTPS и, вероятно, REST. Какой у вас там набор остальных технологий неважно. Если интересно — добро пожаловать под кат.
Мы поговорим о тех изменениях, которые следует проделать в API, о том, как реализовать одноразовые пароли на сервере, как обеспечить безопасность (в т.ч. защиту от перебора) и в какую сторону смотреть при реализации это функциональности на мобильном клиенте.
Изменения в API
В сущности требуется добавить три метода в ваше API:
1. Запросить СМС с кодом на номер, в ответ — токен для последующих действий.
Действие соответствует CREATE в CRUD.
Если всё прошло, как ожидается, возвращаем код состояния 200.
Если же нет, то есть одно разумное исключение (помимо стандартной 500 ошибки при проблемах на сервере и т.п. — некорректно указан телефон. В этом случае:
HTTP код состояния: 422 (Unprocessable Entity), в теле ответа: PHONE_NUMBER_INVALID.
2. Подтвердить токен с помощью кода из СМС.
Действие соответствует UPDATE в CRUD.
Аналогично. Если всё ок — код 200.
Если же нет, то варианты исключений:
3. Форсированная отправка кода повторно.
Аналогично. Если всё ок — код 200.
Если же нет, то варианты исключений:
Особенности реализации одноразовых паролей
Вам потребуется хранить специальный ключ для проверки СМС-кодов. Существует алгоритм TOTP, который, цитирую Википедию:
OATH-алгоритм создания одноразовых паролей для защищенной аутентификации, являющийся улучшением HOTP (HMAC-Based One-Time Password Algorithm). Является алгоритмом односторонней аутентификации — сервер удостоверяется в подлинности клиента. Главное отличие TOTP от HOTP это генерация пароля на основе времени, то есть время является параметром[1]. При этом обычно используется не точное указание времени, а текущий интервал с установленными заранее границами (например, 30 секунд).
Грубо говоря, алгоритм позволяет создать одноразовый пароль, отправить его в СМС, и проверить, что присланный пароль верен. Причём сгенерированный пароль будет работать заданное количество времени. При всём при этом не надо хранить эти бесконечные одноразовые пароли и время, когда они будут просрочены, всё это уже заложено в алгоритм и вы храните только ключ.
Пример кода на руби, чтобы было понятно о чём речь:
Алгоритм описан в стандарте RFC6238, и существует масса реализацией этого алгоритма для многих языков: для Ruby и Rails, для Python, для PHP и т.д..
Строго говоря, Telegram и компания не используют TOTP, т.к. при регистрации там, вас не ограничивают по времени 30-ю секундами. В связи с этим предлагается рассмотреть альтернативный алгоритм OTP, который выдает разные пароли, базируясь на неком счётчике, но не на времени. Встречаем, HOTP:
HOTP (HMAC-Based One-Time Password Algorithm) — алгоритм защищенной аутентификации с использованием одноразового пароля (One Time Password, OTP). Основан на HMAC (SHA-1). Является алгоритмом односторонней аутентификации, а именно: сервер производит аутентификацию клиента.
…
HOTP генерирует ключ на основе разделяемого секрета и не зависящего от времени счетчика.
HOTP описан в стандарте RFC4226 и поддерживается тем же набором библиотек, что представлен выше. Пример кода на руби:
Безопасность решения
Первое непреложное само собой разумеющееся правило: ваше API, где туда-сюда гуляют данные и, самое главное, token должно быть завернуто в SSL. Поэтому только HTTPS, никакого HTTP.
Далее, самым очевидным вектором атаки является прямой перебор. Вот что пишут в параграфе 7.3 авторы стандарта HOTP (на котором базируется TOTP) на эту тему:
Truncating the HMAC-SHA-1 value to a shorter value makes a brute force attack possible. Therefore, the authentication server needs to detect and stop brute force attacks.
We RECOMMEND setting a throttling parameter T, which defines the maximum number of possible attempts for One-Time Password validation. The validation server manages individual counters per HOTP device in order to take note of any failed attempt. We RECOMMEND T not to be too large, particularly if the resynchronization method used on the server is window-based, and the window size is large. T SHOULD be set as low as possible, while still ensuring that usability is not significantly impacted.
Another option would be to implement a delay scheme to avoid a brute force attack. After each failed attempt A, the authentication server would wait for an increased T*A number of seconds, e.g., say T = 5, then after 1 attempt, the server waits for 5 seconds, at the second failed attempt, it waits for 5*2 = 10 seconds, etc.
The delay or lockout schemes MUST be across login sessions to prevent attacks based on multiple parallel guessing techniques.
Если кратко, то от прямого перебора алгоритм априори не защищает и надо такие вещи предотвращать на уровне сервера. Авторы предлагают несколько решений:
Отслеживать число неудачных попыток ввода кода, и блокировать возможность аутентификации по превышению некоторого максимального лимита. Лимит предлагают делать настолько маленьким, насколько ещё будет комфортно пользоваться сервисом.
Мнение, что можно полагаться только на то, что код живёт ограниченное число секунд, и будет безопасно, т.к. код сбрасывается — ошибочно. Даже, если есть фиксированное ограничение на число попыток в секунду.
Посмотрим на примере. Пусть код TOTP состоит из 6 цифр — это 1000000 возможных вариантов. И пусть разрешено вводить 1 код в 1 секунду, а код живёт 30 секунд.
Шанс, что за 30 попыток в 30 секунд будет угадан код — 3/100000
0.003%. Казалось бы мало. Однако, таких 30-ти секундных окон в сутках — 2880 штук. Итого, у нас вероятность угадать код (даже несмотря на то, что он меняется) = 1 — (1 — 3/100000)^2880
8.2%. 10 дней таких попыток уже дают 57.8% успеха. 28 дней — 91% успеха.
Так что надо чётко осознавать, что необходимо реализовать хотя бы одну (а лучше обе) меры, предложенные авторами стандарта.
Не стоит забывать и о стойкости ключа. Авторы в параграфе 4 обязывают длину ключа быть не менее 128 бит, а рекомендованную длину устанавливают в 160 бит (на данный момент неатакуемая длина ключа).
R6 — The algorithm MUST use a strong shared secret. The length of the shared secret MUST be at least 128 bits. This document RECOMMENDs a shared secret length of 160 bits.
Изменения в схеме БД
Итого, в модели (или в таблице БД, если угодно) надо хранить:
Особенности реализации мобильного приложения
В случае Android полученный токен можно хранить в SharedPreferences (почему не AccountManager), а для iOS в KeyChain. См. обсуждение на SoF.
Заключение
Вышеописанный подход позволит вам в рамках вашего стека технологий реализовать указанную задачу. Если вас есть соображения по этому подходу или альтернативные подходы, то прошу поделиться в комментариях. Аналогичная просьба, если у вас есть примеры документации к безопасным
Authentify смс что это? Почему приходят сообщения аутентификации?
Многим пользователям стали приходить сообщения от Authentify. Обычно их отправляет сервис аутентификации с текстом «используйте как код безопасности» и набором цифр. Он отвечает за авторизацию пользователей на сайтах, банковских клиентах, социальных сетях и электронной почте. Ниже мы расскажем, что значит смс от Authentify, как защитить себя и свои данные, а так же что делать при получении такого сообщения. Бывает что сообщения приходят просто так, даже если вы не делали привязку Play Маркета к своей карте, давайте разбираться.
Что такое смс от Authentify?
Сообщение от сервиса аутентификации обычно приходит при попытке входа или сброса пароля к какому-нибудь сайту, где нужны ваш логин и пароль.
СМС от Authentify – это сообщение, содержащее текстовую информацию и код подтверждения. Сама информация различного характера, а вот код может быть использован для входа в ваши аккаунты банковских приложений, почты, социальных сетей. И если банковские счета и карты есть не у всех, то электронная почта нужна при любой регистрации на сайте. Простыми словами взломав вашу почту, злоумышленники смогут восстановить пароли к любой сети, сайту и сервису на котором вы регистрировались.
Вот примеры текстов, которые приходят пользователям:
Authentify смс что это, стоит ли доверять?
Откуда мой номер в базе?
Как было сказано выше, номер мог засветиться, если было скачано вирусное приложение содержащее троян. Но в большинстве случаев ваш мобильный уже находится в открытом доступе, как это происходит?
Получить ваш номер дело нехитрое, достаточно самим указать его на одной из страниц в сети Интернет.
А если я сам регистрируюсь?
Если вы получили смску в процессе регистрации на каком-нибудь сайте, где вводили номер телефона – мог придти код подтверждения, который не несёт никакой угрозы. В этом случае сообщение угрозы не представляет. Если такая рассылка приходит по несколько раз в день, тут надо защитить свои данные, об этом ниже.
Как защитить свои данные?
Первое правило вы должны знать как дважды два: при получении рассылки содержащей код: никому, ни при каких обстоятельствах не говорим и не пересылаем его. Даже если вам позвонят и представятся работниками поддержки сайта или банковскими сотрудниками. Второе – обязательно устанавливаем двухфакторную аутентификацию там, где это возможно: на сайтах электронной почты и в социальных сетях, где больше всего проводите времени. Делается это в настройках.
Двухфакторная аутентификация – способ защиты входа на сайт. После ввода логина и пароля к вашим страницам и личному кабинету, вам потребуется так же ввести код полученный в смске на ваш номер телефона. На сегодня это самый оптимальный метод защиты, главное помнить про первое правило.
В Play Маркет находим и устанавливаем Kaspersky Internet Security: Антивирус и Защита или Антивирус Dr.Web Light. Это поможет найти и удалить опасные приложения и вирусы со смартфона, если таковые имеются.
Блокируем рассылку
Если сообщения приходят по несколько раз в день, следует не раздумывая добавить номер, с которого ведется рассылка в черный список. Для этого открываем полученное сообщение и кликаем на имя отправителя Authentify. Откроется окошко с небольшой информацией и номером(если он не скрыт, тогда будет написано «Неизвестный номер»). Ниже нажимаем кнопку «Заблокировать».
Заключение
Сообщения от Authentify это очередная попытка спамеров засыпать ваш телефон ненужной информацией или происки злоумышленников для получения доступа к вашим данным. А слова «используйте как код безопасности» наоборот подвергают опасности ваши данные. Простые советы выше помогут вам защитить вашу информацию и аккаунты электронной почты и соцсетей. Напишите в комментариях полезной ли оказалась информация, так же можете писать примеры ваших сообщений, поступивших на ваши смартфоны.
Евгений Загорский
IT специалист. Автор информационных статей на тему Андроид смартфонов и IOS смартфонов. Эксперт в области решения проблем с компьютерами и программами: установка, настройка, обзоры, советы по безопасности ваших устройств. В свободное время занимается дизайном и разработкой сайтов.
Чем плоха СМС-аутентификация и как защититься от угона SIM-карты
Привет, Хабр! В прошлой статье мы затронули тему, что аутентификация по СМС – не самый лучший способ многофакторной аутентификации. Такой способ используют многие веб-сервисы: соцсети, почтовые клиенты, платежные системы. Вдобавок номер телефона используется в качестве логина: для регистрации ВКонтакте, в Telegram и так далее.
Если SIM-карту угонят, а СМС перехватят, последствия будут плачевны. Многие пользователи переписываются в мессенджерах с коллегами и партнерами, поэтому под угрозой окажутся не только личные данные, но и корпоративные. Если в вашей компании не используется корпоративная инфраструктура для общения, то незащищенные аккаунты сотрудников ставят под угрозу бизнес. Так что стоит позаботиться о безопасности заранее.
В этой статье возьмем несколько популярных сервисов и заменим СМС-аутентификацию на более безопасные способы. Заодно разберемся, как дополнительно защитить аккаунты от угона и спать спокойно.
На статью нас вдохновил лонгрид MyCrypto, посвященный защите от SIM-джекинга (SimJacking). Мы изучили их рекомендации и составили актуальный список для России.
Зачем избавляться от аутентификации по СМС
Злоумышленники могут получить СМС и зайти в чужой аккаунт сразу несколькими способами:
По каким признакам ясно, что симку угнали:
Как предупредить угон SIM-карты
Что делать, если все-таки угнали
Если SIM-карту уже угнали, у вас будет не более суток на блокировку. Поэтому нужно держать под рукой сценарий быстрой блокировки:
Как избавиться от СМС-аутентификации и защитить аккаунты
Наша общая рекомендация – откажитесь от СМС-аутентификации везде, где можно. Посмотрим, как это сделать для популярных веб-сервисов.
Сначала рассмотрим те, где используется СМС-аутентификация. А потом защитим те, где сам сервис привязан к номеру телефона.
Google-аккаунт
Яндекс
В Яндекс-аккаунте нет возможности включить двухфакторную аутентификацию без привязки номера. Поэтому мы будем использовать «секретный номер» и включать дополнительные факторы в других местах.
Теперь теми же способами защитите ВСЕ сервисы, которые могут использовать СМС-аутентификацию.
По возможности замените ее или привяжите к «секретному номеру» и добавьте вход по отпечатку пальца.
Telegram
Аккаунт мессенджера привязан к номеру телефона, поэтому, помимо двухфакторной аутентификации, настроим дополнительную защиту.
Все эти меры полностью не защитят от угона SIM-карт, но не позволят отдать мошенникам в руки джекпот. Если пользователи ведут удаленную работу с использованием личных девайсов и общедоступных веб-сервисов, это обезопасит и личные данные, и данные коллег.
NIST: SMS нельзя использовать в качестве средства аутентификации
Американский институт стандартов и технологий (NIST) выступил за отказ от использования SMS в качестве одного из элементов двухфакторной аутентификации. В очередном черновике стандарта Digtial Authentication Guideline представители ведомства указывают, что «[внеполосная аутентификация] с помощью SMS будет запрещена стандартом и не будет допускаться в его последующих изданиях».
Документ не является обязательным, но в соответствии со стандартами NIST строят свою инфраструктуру многие государственные учреждения и компании США, поэтому такое решение может серьезно изменить подходы к обеспечению информационной безопасности уже в ближайшем будущем.
Под внеполосной аутентификацией здесь подразумевается использование второго устройства для идентификации личности пользователя.
Почему SMS нельзя использовать для аутентификации
В документе NIST напрямую не указаны причины того, почему SMS не следует использовать в качестве элементов двухфакторной системы аутентификации. Тем не менее, очевидно, что представители Института учли в черновике многочисленные сообщения о взломах и перехватах SMS.
В частности, широкую огласку получила история с взломом Telegram-аккаунтов российских оппозиционеров. О том, что система авторизации по SMS в мессенджере возможно скомпрометирована заявил Павел Дуров. По мнению создателя Telegram, атака не могла быть осуществлена без вмешательства спецслужб. Однако эксперты Positive Technologies провели собственное исследование, в результате которого им удалось перехватить коды аутентификации Telegram и WhatsApp с помощью уязвимостей сетей SS7.
В результате был получен полный доступ к учетным записям в мессенджере — осуществивший подобную атаку злоумышленник сможет не только перехватывать данные, но и вести переписку от имени жертвы.
Кроме того, ранее мы публиковали результаты исследования защищенности сетей SS7. Итоговый уровень безопасности сетей SS7 всех исследованных операторов мобильной связи оказался крайне невысок. В 2015 году в отношении операторов связи и их сетей SS7 могли быть реализованы атаки, связанные с утечкой данных абонентов (77% успешных попыток), нарушениями в работе сети (80%) и мошенническими действиями (67%).
Популярность этой темы легко проверить. Соответствующие запросы в поисковых системах выдают ссылки на специализированные ресурсы в закрытом интернете:
В закрытом сегменте сети можно найти массу сервисов для взлома SS7:
Заказы на подобные взломы также размещаются вполне открыто:
Кроме того, уязвимостям подвержены не только технологические сети SS7, но и алгоритмы шифрования радиоинтерфейса. Атаки на сеть SS7 можно осуществлять из любой точки мира, а возможности злоумышленника не ограничиваются взломом мессенджеров. И сейчас все эти атаки становятся доступны не только спецслужбам, но и злоумышленникам, никак не связанным с государством.
Что теперь будет
Лучшие практики, публикуемые NIST не являются юридически обязывающими стандартами. Однако многие государственные ведомства и агентства США следуют им, что также делают и многие компании, представляющие ИТ-отрасль. Поэтому многие из них после столь однозначеного вердикта Института стандартов и технологий начнут присматриваться к альтернативным способам аутентификации, помимо SMS.
Среди таких альтернатив, к примеру, приложения, доставляющие пользователям двухфакторные коды, обновляющиеся каждые 30 секунд — среди них такие, как Google Authenticator, Authy, Duo. Крупные корпорации разрабатывают инструменты, которые работают на основе похожих принципов (RSA SecureID).
Тем не менее, полного и повсеместного отказа от систем аутентификации, основанных на применении SMS в ближайшем будущем не произойдет. Однако постепенно будет расти число сервисов, которые поддерживают двухфакторную аутентификацию не только через SMS, но и внутри своих приложений. И именно такие системы будут показывать лучшие результаты в деле обеспечения безопасности пользователей.
СМС аутентификация – плюсы и минусы
Представители криптовалютного сообщества знают, что случаи мошенничества в последнее время перестали быть редкостью. Злоумышленники взламывают сети молодых компаний, кошельки пользователей, а также создают фишинговые ресурсы. Самый популярный способ отъема денег у криптовалютчиков – фишинг. Не спасает даже надежная СМС аутентификация.
Что такое фишинг и как работают мошенники
Для осуществления «рыбалки» требуется сайт, похожий на какой-то платежный шлюз. Это может быть интернет-магазин, платежная система или сервис обмена криптовалют. Мошенник подкладывает свой крипто-кошелек так, что вы и не заметите как переведете средства именно ему.
Помните, что операции с криптовалютой невозможно отменить. Заявка сразу отправляется в систему и, если не создать противоречащую транзакцию за время обработки операции, средства будут потеряны. Что-либо доказывать будет бессмысленно, а блокчейн не вернет деньги.
В направлении совершенной защиты от кибер-преступников движутся сотни крупных компаний. Злоумышленники также совершенствуют способы атаки – взламываются крипто-биржи, похищаются личные данные, на рынок ICO частенько выходят компании, желающие собрать деньги и кинуть клиентов.
Сегодня мы поговорим о кибер-безопасности. К SMS-подтверждениям следует относиться крайне осторожно, как трейдерам, так и крипто-предпринимателям. Привязка к телефону делает человека зависимым. SMS-аутентификация – это устаревшая технология, нуждающаяся в срочной замене.
Улучшенный вариант защиты. Пользователю лучше перевести мессенджеры и любые интернет-сервисы на иностранные номера телефонов для восстановления доступов. SMS-подтверждение нужно выключить везде, где только можно. Это необходимо сделать каждому. Вы спросите, а почему, зачем, в чем причина? Потерпите немного, всему свое время, прочитайте статью и сами все поймете.
Начнем с того, что SMS легко перехватить, преступники уже делают это. Перехватив сообщение они способны завладеть данными учетной записи, где номер телефона используется для восстановления пароля. Может двухфакторная аутентификация повысит безопасность? Нет, это тоже не вариант и да, перехватить проще всего SMS местного оператора, поэтому лучше пользоваться услугами иностранных компаний.
Как мошенники перехватывают СМС
Способов перехвата SMS-сообщений множество:
Давайте рассмотрим каждый из способов, но уже более подробно.
Прослушка
На территории Украины действует негласный закон о снятии сведений с транспортных телекоммуникационных систем, проще говоря – о просушке. В Российской Федерации есть статья 186 УПК – «Контроль и запись переговоров». В развитых странах действуют схожие нормы контроля граждан. Прослушка разрешена не всегда, а лишь в таких случаях:
На территории Украины прослушка проводится только, если было совершено тяжелое преступление. В этом случае обвиняемому грозит более 5 лет заключения. А если, к примеру, если человека подозревают в уклонении от уплаты налогов или мошенничестве, по 212 ККУ, прослушка ему не грозит. Такое преступление считается легким и специальные способы для сбора улик не используются.
Реальность такова, что уровень коррупции в странах бывшего Союза, в том числе в правоохранительной системе довольно высок. Крупный бизнес используется силовиков как инструмент давления на конкурентов – мелкие быстроразвивающиеся компании. Получается, что иногда силовики сами не придерживаются действующего законодательства и злоупотребляют служебным положением.
Никакая двухфакторная аутентификация в мессенджерах не защищает пользователей от лиц, заинтересованных во взломе учетной записи. Схемы взлома, обхода защитных протоколов и прослушки совершенствуются каждый день.
Клонирование SIM-карт
Около 80% операторов сотовой связи для восстановления утерянной симки требуют паспортные данные, которые иногда сверяют с паспортом, а также информацию о последних звонках, SMS, сумме на счете, абонентах и т.д., – все, что может помочь верифицировать клиента. В колл-центрах работают люди, выполняющие работу по скриптам. Они не думают ни о чем лишнем и действуют исключительно по алгоритму, который им дала компания.
Рассмотрим стандартный пример преступной схемы. Злоумышленник получил скан-копию паспорта. Это могло произойти в университете, на работе, в больнице, интернете. Сканы свободно распространяются в сети, в нелегальных магазинах и на форумах. Мы не призываем их покупать, будьте осторожны, если попробуете повторить, придется ответить согласно действующего законодательства. Мы выкладываем схему, чтобы вы знали ее изнутри и не попадались на удочку злоумышленников.
Оператор выдает дубликат карты. Дубликат позволит посредством СМС-авторизации получить доступ к крипто-кошельку, как бы перепрограммировав его под себя. Все, а вы останетесь без денег, так как доверились SMS-подтверждению. Схема была описана для любителей отправлять документы через мессенджеры, приветик вам!
Ложная базовая станция
Вы можете подумать, что такое оборудование стоит дорого и у жуликов нет средств на покупку дорогой техники. Они не смогут расшифровать SMS-сообщение. Да, а вы точно в этом уверены в этом? Профессионал украдет ваши личные данные и свинтит доступ, а может и управление SIM-картой в считанные секунды!
Если поискать, в сети можно найти целые пособия по поднятию псевдо-базовой станции для перехвата и расшифровки текстовых сообщений. Перехват запросто осуществим и оборудование обойдется не дороже 30 баксов. В 2013 году было продемонстрировано как при помощи модема и олдскульной моторолы за 30 долларов с простенькими программами было перехвачено SMS. А вы бы даже ничего не заподозрили…
В далеком 2010 году кустарное оборудование для перехвата GSM стоило 2-5 тыс. долларов США. Есть и более дорогие варианты, они надежнее, мощнее и быстрее, также продается дешевая техника, скажем так, любительская. Это самые простые варианты из наборов «юный хакер».
А что дальше, установит злоумышленник эту станцию, и? А затем при помощи телефона, пары шнуров и дешевого ноутбука преступник припаркуется на такси возле вашего подъезда, дома или виллы. Затем поднимет псевдо-сотовую станцию и перехватит сообщение. Теперь ему останется лишь восстановить крипто-кошелек и «дать деру».
Взлом личного кабинета на сайте
Бывают ситуации, когда операторы чтобы сэкономить, не залатывают дыры, через которые взламывают их собственные сайты, приложения и интерфейсы. Приложения имеют полный функционал, они могут принимать текстовые сообщения и управлять балансом держателя криптовалюты.
Злоумышленник может привязать к своему номеру любой другой, если это позволяет функционал сотового оператора. Допустим, преступник приходит в салон связи и прикидывается дурачком. Для этого он говорит оператору, что желает настроить приложение бабушке, которая ничего не понимает в этом. И тут у мошенника появляется ваша копия паспорта, которую он у вас спер. Все, номер его и никому ничего вы не докажите.
Как только злоумышленник завладеет личными данными, он получит доступ к личному кабинету, изменит направление звонков и текстовых сообщений, а затем перенаправит их на свой номер, скорее всего временный.
Как защитить криптовалюты
Что же предпринять для защиты от кибер-мошенников? Мы уже писали о картах иностранных операторов для восстановления доступов. Никогда не вставляйте купленную за рубежом карту в телефоны, используемые в своей стране, чтобы он не светил IMEI. Каждое устройства связи запоминает сим-карты, которые были в него вставлены.
Храните телефон в сухом, прохладном месте – тайнике, который не смогут обнаружить при обыске помещения. Включать телефон следует только для зачисления средств на счет, чтобы сим-карту не заблокировал оператор. Пополнять карту следует раз в 3 месяца. Так вы избавите себя от необходимости перевыпуска карты, если срок ее действия закончится по причине «простоя».
Не пользуйтесь телефоном там, где живете, и показывайте его как можно реже. Это связано с риском проведения прослушки, особенно местными правоохранительными органами. Если вы хотите сохранить деньги, лучше придерживаться данных рекомендаций. Преступник может украсть телефон, используемый вами в повседневной жизни, но доступа к крипто-номеру он не получит. Также один номер можно прикрутить к отдельному аккаунту в почтовом сервисе Gmail. Его можно использовать для привязки смежных электронных платежных систем, которые будут взаимодействовать с крипто-кошельками.
Заключение
Мы рассказали лишь один из способов защиты от кибер-преступников. При желании вы можете найти множество информации об этом в сети. Предупреждаем, что тот список опасностей, который представлен в этой статье далеко не полный. Существуют проекты для хакеров, которые делятся и обмениваются информацией, преступными схемами и т.д.
Там сидят не только кибер-преступники, но и силовики, отлавливающих юных хакеров, а также тестирующие безопасность различных приложений. Задачей некоторых лиц является проверка программ, поиск уязвимостей и обновление приложений с целью защиты от хакеров.