SMS или приложение-аутентификатор: что выбрать для банка
«Использование SMS для аутентификации следует ограничивать из-за риска перехвата сообщений» — так, сухим языком стандарта NIST SP 800-63B, американский регулятор фактически сказал то, что банки долго…

«Использование SMS для аутентификации следует ограничивать из-за риска перехвата сообщений» — так, сухим языком стандарта NIST SP 800-63B, американский регулятор фактически сказал то, что банки долго предпочитали произносить шёпотом: одноразовый код в СМС — не крепостная стена, а табличка «вход только по пропускам» на двери, которую охраняет уставший подрядчик.
Вопрос «sms коды или приложение аутентификатор безопасность» звучит по-потребительски, но за ним стоит вполне взрослая финансовая политика. SMS удобны банку: телефон есть почти у всех, внедрение понятно, поддержка привыкла. TOTP-приложения безопаснее по архитектуре: код рождается локально, не путешествует через мобильного оператора и не зависит от того, насколько убедительно мошенник поговорил с салоном связи. Между этими двумя мирами и застряла банковская аутентификация.
SMS-код: старый компромисс, который стал слишком дорогим
SMS-аутентификация победила не потому, что была лучшей. Она победила потому, что была дешёвой в объяснении.
Банк говорит клиенту: «Мы отправили вам код». Клиент понимает. Оператор доставляет сообщение. Служба безопасности ставит галочку: второй фактор есть. Регулятор видит процедуру. Все довольны — до момента, пока номер телефона не оказывается у злоумышленника.
Главная проблема SMS не в том, что код короткий или что пользователь может его кому-то продиктовать. Это тоже проблема, но не главная. Главная проблема — сам канал доставки. Код уходит через инфраструктуру мобильного оператора, а значит, банк делегирует часть своей безопасности третьей стороне. Очень по-финтеховому: контроль отдаём наружу, ответственность оставляем в красивой презентации.
Есть несколько типовых слабых мест.
1. SIM-swapping. Мошенник убеждает оператора перевыпустить SIM-карту или перенести номер. Иногда через поддельные документы, иногда через социальную инженерию, иногда через внутреннюю дырку у посредников. После этого SMS-коды приходят уже не владельцу счёта.
2. Перехват на уровне телеком-инфраструктуры. Уязвимости сигнальных сетей вроде SS7 давно обсуждаются в индустрии. Для обычного клиента это звучит как магия из шпионского фильма, но для банковского риска формулировка проще: SMS не проектировались как криптографически защищённый канал для подтверждения финансовых операций.
3. Фишинг и голосовая социальная инженерия. «Назовите код для отмены операции» — классика жанра. SMS сам по себе не объясняет пользователю контекст действия. Человек видит цифры, тревожный звонок и слово «безопасность» в устах мошенника. Дальше рынок поведенческой экономики делает своё грязное дело.
4. Зависимость от доступности сети. Роуминг, задержки, перегруженные операторы, проблемы с доставкой. Для входа в банковское приложение это раздражение. Для срочной блокировки карты — уже не мелочь.
SMS-код — это не второй фактор в чистом виде, а второй фактор плюс доверие к оператору, салону связи и человеческой психике. Набор, прямо скажем, нервный.
При этом объявлять SMS «бесполезными» — дешёвый радикализм. Двухфакторная аутентификация через СМС всё ещё лучше, чем пароль в одиночестве. Особенно для массового банка, где часть клиентов не хочет слышать ни про TOTP, ни про FIDO, ни про «установите отдельное приложение». Но «лучше, чем ничего» — плохой стандарт для доступа к деньгам.
TOTP: код, который не ездит через оператора
Приложение-аутентификатор работает иначе. Оно не ждёт SMS. Оно не спрашивает мобильную сеть. Оно не надеется, что номер телефона остался у владельца.
В основе большинства таких решений лежит TOTP — Time-based One-Time Password, стандарт RFC 6238, опубликованный в 2011 году. Механика в общих чертах проста: при подключении банк и приложение создают общий секрет. Дальше приложение на устройстве пользователя локально генерирует одноразовые коды на основе этого секрета и текущего времени. Обычно код живёт короткий интервал, затем сменяется новым.
Ключевой момент: код не доставляется пользователю через оператора. Он вычисляется на устройстве.
Это меняет модель угроз. При SMS злоумышленнику достаточно получить контроль над номером или перехватить сообщение. При TOTP ему уже нужен доступ к самому секрету, к устройству, к резервной копии или к коду в момент ввода. Задача не исчезает, но становится заметно менее бытовой.
Если сравнивать грубо, но честно:
| Параметр | SMS-код | Приложение-аутентификатор TOTP |
|---|---|---|
| Где появляется код | Приходит через мобильного оператора | Генерируется локально на устройстве |
| Зависимость от номера телефона | Полная | Обычно нужна только на этапе привязки или восстановления, если банк так решил |
| Риск SIM-swapping | Высокий: номер можно перенести | Существенно ниже: перенос номера сам по себе код не даст |
| Риск задержки доставки | Есть: сеть, роуминг, оператор | Минимальный: код считается офлайн |
| Удобство для массового клиента | Максимальное: все знают SMS | Требует настройки и понимания |
| Фишинг | Пользователь может продиктовать код | Пользователь тоже может ввести код на фишинговом сайте, но канал оператора исключён |
| Контроль банка над фактором | Частично делегирован оператору | Больше контроля над протоколом и политикой привязки |
Вот здесь начинается неудобная для банков часть. TOTP безопаснее не потому, что приложение «современнее» или интерфейс красивее. Оно безопаснее потому, что вырезает из цепочки целый класс посредников. А посредники — это не только риск. Это ещё и бизнес-договоры, устоявшиеся процессы, отчётность, call-центр, инструкции, легаси-инфраструктура. То есть всё то, что банк любит называть «операционной устойчивостью», когда не хочет быстро менять старую схему.
Почему банки не выкинули SMS завтра утром
Если TOTP так хорош, почему банковский сектор до сих пор не устроил SMS торжественные похороны? Потому что безопасность в банке — это не олимпиада криптографов. Это компромисс между риском, стоимостью поддержки, регуляторной совместимостью и терпением клиента.
У банка есть миллионы пользователей. У части — старые телефоны. У части — один смартфон на семью, да, в 2026-м это всё ещё не фантастика. Кто-то теряет устройства. Кто-то меняет аппарат каждые полгода и забывает перенести аутентификатор. Кто-то не понимает, почему банк просит сканировать QR-код в отдельном приложении, и сразу звонит в поддержку.
Для необанка с молодой аудиторией перевод на приложение-генератор кодов выглядит почти естественным. Для универсального банка с пенсионными выплатами, зарплатными проектами и региональной сетью — уже политическое решение. Не в смысле партийных лозунгов, а в смысле распределения боли: кому станет сложнее, кто оплатит поддержку, кого потеряют на онбординге.
С точки зрения банка SMS хороши тем, что:
- понятны клиенту без обучения: код пришёл — код ввёл;
- работают как универсальный fallback при восстановлении доступа;
- легко вписываются в юридические сценарии подтверждения операций, где годами накапливались шаблоны, журналы, тексты уведомлений;
- позволяют банку перекладывать часть технического слоя на операторов, хотя за это потом приходится платить риском.
Но именно fallback часто превращается в дырку. Банк может рекламировать биометрию, пуш-подтверждения, TOTP, красивую «многоуровневую защиту», а потом при восстановлении доступа снова спросить: «Введите код из SMS». И весь небоскрёб безопасности аккуратно приземляется на SIM-карту.
Вот поэтому настоящий вопрос не «есть ли у банка приложение-аутентификатор». Настоящий вопрос — что происходит при потере телефона, смене устройства, восстановлении пароля и спорной операции. А там, в подвале процесса, часто лежит старый добрый SMS.
Позиция NIST: регулятор не запрещает, но намекает довольно громко
NIST SP 800-63B не устраивает театрального запрета SMS. Регуляторы вообще редко говорят: «Так, это выбросить». Они предпочитают формулы вроде «ограничить использование», «учитывать риск», «не рекомендовать для высоких уровней assurance». Перевод с канцелярского: «Мы вас предупредили, дальше сами объясняйте аудитору».
В 2017 году вышло обновление NIST SP 800-63-3, где подход к цифровой идентификации и аутентификации стал заметно строже. SMS не исчезли из мира, но потеряли ореол нормального второго фактора для серьёзных сценариев. Причина проста: канал не контролируется сервисом, может быть перенаправлен, перехвачен или скомпрометирован на стороне оператора.
Для банков это неприятный сигнал. Формально можно продолжать использовать SMS, особенно как один из вариантов. Но если банк строит защиту крупных переводов, удалённого открытия продукта, смены доверенного устройства или восстановления доступа, опираться только на SMS — уже не «клиентоориентированность», а управленческая лень с юридическим макияжем.
Здесь есть тонкость. Регуляторы разных стран двигаются с разной скоростью. Где-то сильнее давят на биометрию, где-то на риск-скоринг операций, где-то на аппаратные ключи и FIDO-подход. Но общий вектор понятен: одноразовый код из сообщения перестаёт быть символом безопасности и становится временным костылём.
Регулятор не обязан объявлять SMS плохими. Достаточно назвать их «допустимыми с ограничениями» — в банковском переводе это уже жёлтая карточка.
TOTP тоже не броневик: где заканчивается магия приложений
Приложение-аутентификатор безопаснее SMS, но не надо превращать его в амулет. TOTP не спасает от всего. И особенно он не спасает от пользователя, которого аккуратно провели через фишинговый сценарий.
Если клиент сам вводит логин, пароль и текущий TOTP-код на поддельной странице, злоумышленник может использовать этот код в реальном времени. Это не уязвимость алгоритма RFC 6238. Это уязвимость человеческого интерфейса, где банк, браузер, почта и мошенник соревнуются за внимание человека. Спойлер: мошенник часто пишет убедительнее, чем банковская служба комплаенса.
Есть и другие границы защиты:
- Компрометация устройства. Если смартфон заражён вредоносным ПО или злоумышленник получил физический доступ, локальная генерация кода уже не выглядит такой уж локальной крепостью.
- Плохое восстановление доступа. Если потерянный TOTP можно сбросить одним SMS-кодом, мы снова пришли к исходной проблеме, только через парадный вход.
- Синхронизация и резервные копии. Удобные облачные бэкапы аутентификаторов снижают риск потери доступа, но добавляют новый вопрос: кто и как защищает саму резервную копию.
- Прокси-фишинг. Современные фишинговые атаки могут передавать введённый TOTP-код почти мгновенно. Код одноразовый, да. Но если его используют в эти же секунды, одноразовость не помогает так красиво, как в слайдах.
Поэтому корректная формула звучит так: TOTP закрывает сильные слабости SMS-канала, но не отменяет необходимости защищать сессию, устройство, восстановление доступа и контекст операции.
Банк, который просто заменил SMS на приложение-генератор кодов и успокоился, поменял замок. Но если ключи от запасного входа лежат под ковриком call-центра, архитектурной победы не случилось.
Что на практике выбирать клиенту банка
Если банк даёт выбор между SMS и TOTP-приложением, для основного доступа к счёту предпочтительнее TOTP. Не потому, что это модно. Потому что код не зависит от мобильного оператора и не становится добычей при перевыпуске SIM-карты.
Но выбор стоит делать не только по названию метода. В банковской безопасности дьявол живёт в соседнем меню настроек.
Хороший сценарий выглядит так:
1. Для входа и подтверждения чувствительных операций используется TOTP, пуш с криптографическим подтверждением или другой более сильный фактор, а SMS остаётся вспомогательным каналом, но не главным ключом от всего.
2. Смена доверенного устройства требует дополнительной проверки, а не только кода из сообщения. Например, подтверждения в старом приложении, биометрии, задержки операции или контакта с банком по более строгой процедуре.
3. Восстановление доступа не должно полностью обнулять смысл TOTP. Если потеря аутентификатора лечится одним SMS за 20 секунд, это не восстановление, а телепорт риска.
4. Операции с повышенным риском получают отдельный контекст: сумма, получатель, тип действия. Пользователь должен подтверждать не абстрактный «код безопасности», а конкретное действие. Иначе социальная инженерия снова забирает приз зрительских симпатий.
5. Банк уведомляет о попытках смены номера, устройства, пароля и метода аутентификации через несколько каналов. Не ради спама, а чтобы клиент заметил атаку до списания денег.
Для частного пользователя простой вывод такой: если банк предлагает приложение-аутентификатор, лучше включить его для входа и ключевых операций. SMS оставить как резерв — если банк позволяет ограничить его роль. Если не позволяет, хотя бы защитить сам номер: запретить удалённый перевыпуск SIM у оператора, включить дополнительные проверки в личном кабинете оператора, не держать банковский номер в публичных объявлениях и соцсетях.
Да, это звучит скучно. Безопасность вообще редко выглядит как трейлер к киберпанку. Чаще она выглядит как запрет на перевыпуск SIM без паспорта и неприятный разговор с поддержкой.
Куда всё движется: биометрия, FIDO и тихая смерть одноразовых кодов
Одноразовые коды — переходная технология. SMS были первым массовым способом добавить второй фактор. TOTP стал более аккуратной версией той же идеи. Но индустрия уже смотрит дальше: биометрия в банковских приложениях, аппаратные ключи, passkeys, FIDO-подходы, привязка к устройству, риск-скоринг поведения.
FIDO Alliance в последние годы продвигает модели, где пользователь не переписывает код из одного места в другое. Это важный сдвиг. Пока человек вручную переносит секрет — из SMS, из приложения, из письма — фишинг имеет окно возможностей. Если подтверждение криптографически привязано к домену, устройству и конкретному действию, мошеннику становится сложнее подменить сцену.
Банкам этот переход выгоден и неприятен одновременно.
Выгоден — потому что меньше фрода, меньше споров, меньше зависимости от операторов. Неприятен — потому что придётся перестраивать процессы идентификации, восстановления, поддержки и доказательства согласия клиента. А ещё объяснять людям, почему «код из SMS» больше не является верхом цифровой цивилизации.
Биометрия тоже не серебряная пуля. Отпечаток пальца и лицо удобны, но вокруг них сразу возникает другая политика: хранение шаблонов, согласие, утечки, возможность отзыва фактора. Пароль можно сменить. Лицо — сложнее, хотя индустрия делает вид, что вопрос решён красивой фразой «биометрический шаблон». Спасибо, звучит успокаивающе, почти как «временные трудности».
Поэтому ближайшая реальность банковской аутентификации, скорее всего, будет гибридной:
| Сценарий | Вероятный фактор | Почему так |
|---|---|---|
| Обычный вход в приложение | Биометрия устройства + привязка сессии | Быстро, привычно, снижает трение |
| Новый телефон или браузер | TOTP, пуш-подтверждение, строгая проверка | Риск выше, нужен более сильный контроль |
| Крупный перевод | Подтверждение конкретной операции в приложении | Важен контекст: кому и сколько |
| Восстановление доступа | Комбинация факторов и задержка | Самый опасный сценарий для захвата аккаунта |
| Массовый резервный канал | SMS, но с ограничениями | Полностью убрать пока трудно |
Именно так умирают старые технологии в банковском секторе: не взрывом, а понижением в должности. SMS ещё долго будут жить как резервный канал, уведомление, fallback для отдельных групп клиентов. Но роль главного защитника банковского аккаунта они уже проигрывают.
Настоящий выбор — не между двумя кодами, а между двумя моделями доверия
SMS против TOTP — это не спор «какое приложение поставить». Это спор о том, кому банк доверяет в критический момент.
В модели SMS банк доверяет мобильному оператору, процедурам перевыпуска номера, доставке сообщений и способности клиента не продиктовать код мошеннику. В модели TOTP банк сильнее опирается на устройство, локальный секрет и собственную процедуру привязки. Риски остаются, но переносятся из телеком-болота в более управляемую зону.
Для клиента ответ достаточно прямой: если доступен TOTP или более современный фактор — выбирайте его для банка. SMS оставляйте как запасной инструмент, а не как главный замок. Для банка ответ болезненнее: нельзя вечно продавать цифровую безопасность, построенную на канале, который проектировался не для защиты денег, а для коротких сообщений.
Макроэкономический вопрос здесь шире, чем один код на экране. Финансовая система всё быстрее уходит в удалённую идентификацию, мгновенные переводы и мобильные кошельки. Чем больше денег проходит через смартфон, тем дороже становится каждый слабый fallback. И если банки не хотят, чтобы доверие к цифровым счетам зависело от сотрудника салона связи и удачного звонка мошенника, им придётся признать очевидное: эпоха SMS как полноценного фактора безопасности заканчивается. Не драматично. Просто счёт уже пришёл.