Открыть сервис

Код авторизации

Код авторизации — это уникальная последовательность символов (цифр, букв, или их комбинация), генерируемая системой для подтверждения личности пользователя при входе в учётную запись, совершении финансовой операции или доступе к конфиденциальным данным. Код авторизации выступает одноразовым или краткосрочным ключом, который служит вторым фактором аутентификации (2FA) или частью многофакторной защиты, обеспечивая дополнительный уровень безопасности помимо стандартного пароля.

Принцип работы

Код авторизации генерируется автоматически сервером или специализированным приложением в момент запроса на аутентификацию. Пользователь получает код через заранее выбранный канал связи (SMS, электронная почта, push-уведомление, голосовой звонок) или считывает его с аппаратного токена. Введённый код сравнивается с эталонным значением на сервере; при совпадении система предоставляет доступ к ресурсу или подтверждает действие. Код действует ограниченное время (обычно от 30 секунд до 5 минут) и после использования или истечения срока теряет силу, что исключает его повторное применение злоумышленниками.

Типы кодов авторизации

Одноразовые коды (OTP)

Одноразовый пароль (One-Time Password, OTP) — наиболее распространённый тип кода авторизации. Он генерируется для единственного сеанса аутентификации и не может быть использован повторно. OTP бывают:

  • Временные (TOTP) — действительны в течение короткого интервала (например, 30 секунд). Генерируются на основе текущего времени и секретного ключа. Используются в приложениях-аутентификаторах (Google Authenticator, Яндекс.Ключ).
  • Счётчиковые (HOTP) — изменяются после каждого успешного использования на основе счётчика. Применяются в аппаратных токенах (например, RSA SecurID).

Статические коды

Статические коды авторизации — это заранее установленные последовательности, которые не меняются со временем. Используются реже из-за низкой безопасности, но могут применяться в системах с низкими требованиями к защите (например, PIN-код для входа в локальную сеть офиса). В современных веб-сервисах статические коды обычно заменяются одноразовыми.

Коды восстановления

Коды восстановления — это набор одноразовых кодов, выдаваемых пользователю при первичной настройке двухфакторной аутентификации. Они предназначены для экстренного доступа к учётной записи в случае утраты основного устройства (телефона, токена). Каждый код может быть использован только один раз; после исчерпания всех кодов система требует генерации нового набора.

Способы доставки кодов авторизации

SMS-сообщения

Код отправляется на мобильный телефон пользователя в виде текстового сообщения. Этот способ наиболее распространён, но уязвим для атак с перехватом SIM-карты (SIM-swapping) и перехватом SMS через уязвимости протокола SS7. В России операторы связи и банки активно используют SMS-коды, однако с 2023 года Центральный банк РФ рекомендует переходить на более защищённые методы (например, push-уведомления).

Push-уведомления

Код отображается в виде всплывающего уведомления на мобильном устройстве пользователя. Для подтверждения часто требуется нажать кнопку «Подтвердить» в приложении, что исключает необходимость ручного ввода. Push-уведомления считаются более безопасными, чем SMS, так как используют зашифрованное соединение между приложением и сервером.

Аутентификаторы (TOTP-приложения)

Приложения-генераторы кодов (Google Authenticator, Authy, Яндекс.Ключ) создают коды на основе алгоритма TOTP. Код генерируется локально на устройстве, не передаётся по сети, что исключает перехват. Пользователь вводит код вручную на странице входа. Этот метод широко применяется в банковских системах, социальных сетях и корпоративных порталах.

Аппаратные токены

Физические устройства (RSA SecurID, YubiKey), генерирующие коды авторизации или подключаемые к компьютеру через USB/NFC. Токены не зависят от мобильной сети и не подвержены атакам на SIM-карты. Используются в корпоративной среде, государственных учреждениях и для доступа к критически важным системам (например, в «Госуслугах» — сертифицированные токены для юридических лиц).

Голосовые звонки

Код передаётся через автоматический голосовой вызов на мобильный или стационарный телефон. Применяется как резервный способ для пользователей, не имеющих доступа к SMS или интернету. В России голосовые коды используются в системах «Сбербанк Онлайн» и «Почта Банк» для верификации операций.

Применение кодов авторизации

Банковские операции

Коды авторизации обязательны для подтверждения переводов, оплаты покупок в интернете и входа в интернет-банк. В России с 2014 года действует требование ЦБ об обязательной двухфакторной аутентификации для операций на сумму свыше 1000 рублей. Код приходит в SMS или push-уведомлении; в некоторых банках (например, Т-Банк) используется генерация кода в самом приложении.

Государственные услуги

Портал «Госуслуги» использует коды авторизации для подтверждения входа (через SMS или приложение) и для подписания заявлений. С 2023 года внедрена обязательная двухфакторная аутентификация для всех пользователей, имеющих подтверждённую учётную запись. Код запрашивается при каждом входе с нового устройства или при смене IP-адреса.

Социальные сети и мессенджеры

Платформы, такие как «ВКонтакте», «Одноклассники», Telegram, используют коды авторизации для защиты от несанкционированного доступа. В Telegram код приходит в виде SMS или через push-уведомление; дополнительно можно включить облачный пароль. «ВКонтакте» предлагает настройку двухфакторной аутентификации через приложение-аутентификатор или SMS.

Электронная почта

Почтовые сервисы (Яндекс.Почта, Mail.ru, Gmail) поддерживают двухфакторную аутентификацию с кодами авторизации. Яндекс.Почта использует собственное приложение «Яндекс.Ключ», генерирующее TOTP-коды, или SMS-коды. Mail.ru предлагает аналогичный функционал с возможностью выбора способа доставки.

Безопасность и уязвимости

Коды авторизации значительно повышают защиту учётных записей, но не являются абсолютно надёжными. Основные уязвимости:

  • Перехват SMS — атаки на протокол SS7 позволяют злоумышленникам перенаправлять SMS на свой номер. В России зафиксированы случаи таких атак на клиентов банков в 2020–2022 годах.
  • Фишинг — поддельные страницы входа, собирающие код авторизации в реальном времени (атака «человек посередине»). Пример: поддельная страница «Госуслуг», запрашивающая SMS-код.
  • Социальная инженерия — мошенники звонят жертве, представляясь сотрудниками банка, и выманивают код, якобы для отмены подозрительной операции.
  • Вредоносное ПО — трояны на мобильных устройствах могут перехватывать SMS-сообщения или push-уведомления. В России распространены банковские трояны (например, «Мамба»), нацеленные на кражу кодов из SMS.

Для снижения рисков рекомендуется использовать приложения-аутентификаторы вместо SMS, включать биометрическую защиту на устройстве, не сообщать коды третьим лицам и проверять URL-адреса сайтов перед вводом данных.

Критика и альтернативы

Критики отмечают, что SMS-коды устарели и не отвечают современным требованиям безопасности. В 2023 году Национальный центр кибербезопасности Великобритании (NCSC) рекомендовал отказаться от SMS-аутентификации в пользу TOTP-приложений или аппаратных ключей. В России обсуждается переход на биометрическую аутентификацию (Единая биометрическая система, ЕБС) и использование цифровых подписей на основе ГОСТ-криптографии. Альтернативой кодам авторизации выступают:

  • Биометрия — отпечаток пальца, распознавание лица (Face ID) или голоса.
  • Аппаратные ключи — FIDO2/U2F-ключи (например, YubiKey), не требующие ввода кода.
  • Магические ссылки — ссылка для входа, отправляемая на почту, при переходе по которой пользователь автоматически аутентифицируется.

Источники

  1. Федеральный закон «О национальной платежной системе» от 27.06.2011 № 161-ФЗ (с изменениями).
  2. Указание Банка России от 24.09.2020 № 5562-У «О требованиях к защите информации при осуществлении переводов денежных средств».
  3. Руководство по двухфакторной аутентификации, Национальный центр кибербезопасности Великобритании (NCSC), 2023.
  4. Документация по протоколу TOTP (RFC 6238) и HOTP (RFC 4226).
  5. Отчёт о киберугрозах в финансовом секторе РФ, Positive Technologies, 2022.
  6. Материалы портала «Госуслуги» — раздел «Безопасность учётной записи», 2024.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →