welcome: please sign in

This wiki is not enabled for mail processing. Contact the owner of the wiki, who can enable email.

Clear message
location: CA / phone-registration

Что не так с регистрацией по номеру телефона

Регистрация по номеру мобильного телефона используется во многих современных сервисах, как откровенно низкопробных(ВКонтакте, Одноклассники, Telegram, Whatsapp, всякие интернет магазины), так и заслуживающих несколько бОльшего уважения (Signal, что еще???). Такой способ регистрации и авторизации сопряжен с несколькими проблемами, о которых ниже.

Полное отсутствие анонимности

Во-первых, люди могут просто не хотеть сообщать свой номер телефона всем подряд. Во вторых, во многих странах, в том числе в России, SIM-карты продаются по паспорту. Это позволяет, при наличии соответствующих полномочий, за взятку, или по слитым базам сотовых операторов, получить много ценной информации о владельце номера - как минимум ФИО, примерное местоположение и список контактов.

Довольно уникальный идентификатор

Содержание собственного номера мобильного требует регулярной оплаты услуг оператора связи, а телефонный номер сам по себе нужен для телефонных звонков и поддержания связи с важными контактами. Поэтому мало кто готов содержать множество мобильных номеров или часто менять номер. Это превращает номер телефона в довольно уникальный идентификатор, который можно использовать для идентификации пользователей с целью рассылки спама, сбора бигдаты, или еще чего похуже.

Зависимость от третьей стороны и ненадежность

Потеря доступа к номеру телефона означает в таких сервисах потерю доступа к аккаунту и возможность доступа к нему нового владельца номера. Мобильные телефоны регулярно крадут, их теряют, оператор может прекратить обслуживание номера в одностороннем порядке по ему одному известным причинам, при выезде в другую страну сим-карта может перестать работать, или просто захотелось сменить сотового оператора. Есть огромное количество вариантов потери доступа к телефонному номеру. В некоторых из этих случаев конечно можно пойти к оператору и попытаться восстановить номер, или заняться перерегистрацией аккаунта на другой номер. Но зачем вся эта морока с доказыванием неверблюдности, если аккаунт можно зарегистрировать на адрес электронной почты или даже без него?

Небезопасность передаваемых данных

Содержимое всех звонков и SMS полностью доступно оператору. Оператор может делать с ними что угодно. В мобильных сетях используется слабое шифрование радиоканала, поэтому атакующий, находящийся поблизости от телефона, может перехватить SMS.

https://domonkos.tomcsanyi.net/?p=418
https://media.blackhat.com/bh-us-10/whitepapers/Nohl/BlackHat-USA-2010-Nohl-Attacking.Phone.Privacy-wp.pdf
https://www.cs.ru.nl/~F.vandenBroek/pub/scriptie.pdf

Исходя из всего вышеизложенного, использование сервисов, требующих номер телефона, категорически не рекомендуется