Microsoft: Безопасность? Нет, не слышали!

Чтобы минимизировать риски угона различных аккаунтов, привязаных к телефонному номеру, я завел на это дело отдельную симку и самый простой телефон, чтобы не один вирусняк там не завелся. Телефон залочен паролем.

Сегодня получил код подтверждения для логина в аккаунт Microsoft, и сюрприз, этот код можно прочитать без того чтобы разлочить телефон. Код подтверждения идет в самом начале СМС, а как известно, многие телефоны могут показывать начало сообщения даже в залоченом состоянии. То есть атакующий, завладев телефоном или просто увидев его экран в залочем состоянии, уже имеет возможность обойти одну из стадий аудентификации.

Не думал я что в Microsoft не знают одну из простых заповедей проектирования безопасных информационных систем: если что-то сделать просто пользователю, то это же будет просто и атакующему. В обычной жизни люди более-менее за сотни лет уже дошли до этого принципа и никого не смущают замки на дверях, но видимо в мире разработки людям до этого еще идти и идти...