Привязывать телефон к аккаунту - не всегда хорошая идея
Last updated
Was this helpful?
Last updated
Was this helpful?
Не используйте подтверждение через номер телефона там, где это необязательно.
2FA используется для усиления безопасности. Используйте дополнительный фактор для входа в сайт, когда вы осознаете, что аккаунт на конкретном сайте для вас важен (переписки, покупки, финансы), и что вы сознательно будете подтверждать вход каждый раз.
Однако, если есть выбор, что именно использовать для подтверждения, - номер телефона либо что-то другое - то используйте другое. Компании заинтересованы в том, чтобы знать ваш номер: рассылать вам СМС, проверять вашу личность, связывать её с другими сайтами. Так же легко они выдадут часть вашего номера при попытке входа в ваш аккаунт или когда ваш друг даст приложению доступ к своим контактам.
Также плохой идеей будет привязывать чужой телефон. Например, привязать телефон бабушки к своему аккаунту в Google, потому что Google зачем-то потребовал от вас добавить телефон. Зная ваш аккаунт, будет возможно получить часть номера телефона бабушки через, например, восстановление доступа.
Форма входа. Например, сервис может отвечать сообщениями "пользователь с таким email не существует" и "вы ввели неправильный пароль", что однозначно подтверждает наличие аккаунта с вашим почтовым ящиком.
Форма регистрации. Сайт не даст вам зарегистрировать аккаунт на телефон, который уже есть в системе: "этот телефон уже используется". А если его там нет, то на телефон скорей всего отправится уведомление.
Форма восстановления доступа. Чаще всего вводятся одни данные, например, никнейм аккаунта, а сервис отвечает что-то вроде Новый пароль отослан на ящик iva*****ov@mail.com или Мы отослали СМС на номер, оканчивающийся на 93. Или просит ввести email, а потом пишет "если такой аккаунт существует, то мы отправили уведомление". А Meta (Facebook) достаточно знать только ID аккаунта.
Во всех этих местах возможна утечка второго фактора (номера телефона), который вы привязываете к аккаунту.
| ⏫ Оглавление |