welcome: please sign in

Upload page content

You can upload content for the page named below. If you change the page name, you can also upload content for another page. If the page name is empty, we derive the page name from the file name.

File to load page content from
Page name
Comment
Тебе за пиар параши полагается

location: CA / phone-registration

Что не так с регистрацией по номеру телефона

Регистрация по номеру мобильного телефона используется во многих современных сервисах, как откровенно низкопробных(ВКонтакте, Одноклассники, Telegram, Whatsapp, всякие интернет магазины), так и заслуживающих несколько бОльшего уважения (Signal, что еще???). Такой способ регистрации и авторизации сопряжен с несколькими проблемами, о которых ниже.

Полное отсутствие анонимности

Во-первых, люди могут просто не хотеть сообщать свой номер телефона всем подряд. Во вторых, во многих странах, в том числе в России, SIM-карты продаются по паспорту. Это позволяет, при наличии соответствующих полномочий, за взятку, или по слитым базам сотовых операторов, получить много ценной информации о владельце номера - как минимум ФИО, примерное местоположение и список контактов.

Довольно уникальный идентификатор

Содержание собственного номера мобильного требует регулярной оплаты услуг оператора связи, а телефонный номер сам по себе нужен для телефонных звонков и поддержания связи с важными контактами. Поэтому мало кто готов содержать множество мобильных номеров или часто менять номер. Это превращает номер телефона в довольно уникальный идентификатор, который можно использовать для идентификации пользователей с целью рассылки спама, сбора бигдаты, или еще чего похуже.

Зависимость от третьей стороны и ненадежность

Потеря доступа к номеру телефона означает в таких сервисах потерю доступа к аккаунту и возможность доступа к нему нового владельца номера. Мобильные телефоны регулярно крадут, их теряют, оператор может прекратить обслуживание номера в одностороннем порядке по ему одному известным причинам, при выезде в другую страну сим-карта может перестать работать, или просто захотелось сменить сотового оператора. Есть огромное количество вариантов потери доступа к телефонному номеру. В некоторых из этих случаев конечно можно пойти к оператору и попытаться восстановить номер, или заняться перерегистрацией аккаунта на другой номер. Но зачем вся эта морока с доказыванием неверблюдности, если аккаунт можно зарегистрировать на адрес электронной почты или даже без него?

Небезопасность передаваемых данных

Содержимое всех звонков и SMS полностью доступно оператору. Оператор может делать с ними что угодно. В мобильных сетях используется слабое шифрование радиоканала, поэтому атакующий, находящийся поблизости от телефона, может перехватить SMS.

https://domonkos.tomcsanyi.net/?p=418
https://media.blackhat.com/bh-us-10/whitepapers/Nohl/BlackHat-USA-2010-Nohl-Attacking.Phone.Privacy-wp.pdf
https://www.cs.ru.nl/~F.vandenBroek/pub/scriptie.pdf

Исходя из всего вышеизложенного, использование сервисов, требующих номер телефона, категорически не рекомендуется